Fin mai dernier, le chercheur en sécurité Filippo Cavallarin montrait qu’il était assez aisé de contourner la protection Gate Keeper de macOS, depuis une archive .zip. La méthode décrite combinait deux fonctionnalités de macOS pour abuser Gate Keeper, censé s’assurer que tous les logiciels qui tournent sur macOS sont sûrs. Cette faille peut également être exploitée depuis une simple image disque, a noté Intego, qui a déniché trois malwares ) a priori de simples galops d’essai – utilisant la technique à parti d’images disque.

La faille Gate Keeper également exploitable depuis les images disques

LA faille initiale impliquait un fichier .zip. Le scénario était le suivant :un attaquant crée un fichier zip contenant un lien symbolique vers un point de montage automatique qu’il / elle contrôle (ex Documents -> /net/evil.com/Documents) et l’envoie à la victime. La victime télécharge l’archive malveillante, l’extrait et suit le lien symbolique. À présent, la victime se trouve dans un emplacement contrôlé par l’attaquant, mais approuvé par Gatekeeper. Ainsi, tout exécutable contrôlé par l’attaquant peut être exécuté sans aucun avertissement. La façon dont le Finder est conçu (ex. Cacher les extensions .app, cacher le chemin complet depuis la barre de titre) rend cette technique très efficace et difficile à repérer.

Le « nouveau » malware, exploitant la faille décrite ci-dessous à partir d’images disque est logiquement nommé « OSX/Linker disk images ». Il a été repéré sur un serveur, où trois instances du malware ont brièvement séjourné. Celles-ci seraient le fruit du travail manuel de l’auteur d’un adware nommé OSX/Surfbuyer, et ne seraient que des versions prélimiaires, des sortes de preuve de concept en somme. Pas vraiment de danger donc, dans l’immédiat, mais Apple serait bien avisée de combler la faille-mère dans son système de protection.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.