【安全资讯】iTunes本地提权漏洞CVE-2024-44193 PoC发布

概要：

近日，安全研究员mbog14发布了一份关于影响iTunes版本12.13.2.3的严重本地提权漏洞（CVE-2024-44193）的技术细节及概念验证。这一漏洞被标记为CVSS 8.4，可能使攻击者在Windows系统上获取SYSTEM级别的访问权限。Apple公司已于2024年9月12日发布补丁修复该漏洞。

主要内容：

该漏洞存在于AppleMobileDeviceService.exe组件的不当用户权限处理上。通常，普通用户如本地“Users”组的成员对C:\ProgramData\Apple\*目录具有写入权限，这为恶意攻击者利用该服务打开了一扇门。在重新启动AppleMobileDeviceService.exe时，攻击者可以利用文件/文件夹删除原语执行任意的SYSTEM级代码。

通过使用NTFS联结技术，攻击者能够将文件删除操作重定向至系统的敏感区域。研究员mbog14演示了如何借助Windows的MSI回滚技巧进行漏洞利用，覆盖如C:\Program Files\Common Files\microsoft shared\ink\目录下的关键文件HID.DLL，从而最终产生SYSTEM权限的shell。

该漏洞利用过程包含五个步骤：首先对Lockdown目录设置oplock以适时暂停进程，然后重启Apple服务以使进程跟随NTFS联结，接着准备一个恶意的回滚脚本在删除过程中使用，接着配置NTFS联结指向MSI安装程序的文件删除操作，最后释放oplock触发竞态条件，完成恶意脚本的编写与执行。苹果建议用户尽快更新至iTunes 12.13.2.3或更高版本，以避免风险。