La sécurité de macOS peut aisément être prise en défaut, au moins au niveau de Gatekeeper, la fonctionnalité de sécurité intégrée au système qui est chargée de vérifier que les apps lancées sont signées ou notariées par Apple, et donc sécurisées. Filippo Cavallarin montre que Gatekeeper peut être aisément contourné, pour aboutir à l’exécution de logiciels non vérifiés potentiellement malveillants.

contourner Gatekeeper est aisé sur macOS

Le chercheur explique : « conformément à sa conception, Gatekeeper considère les disques externes et les partages réseau comme des emplacements sûrs et permet à toutes les applications qu’ils contiennent de s’exécuter. En combinant cette conception avec deux fonctionnalités légitimes de MacOS X, il en résultera un contournement complet du comportement souhaité. »

La première fonction légitime utilisée est l’auto-montage des volumes (autofs) qui permet de monter automatiquement un volume, y compris partagé, simplement en indiquant un chemin spécifique (ici commençant par /net/). Celui-ci étant considéré « conformément à sa conception » comme sûr ne sera pas vérifié.

La seconde fonctionnalité concerne la décompression des archives .zip qui s’opère sans aucune vérification. Il est ainsi possible d’intégrer un lien symbolique (symlink) pointant vers un répertoire contrôlé par l’attaquant qui, s’il est suivi par l’utilisateur, le place dans un environnement controlé par l’attaquant, qui peut exécuter ce qu’il veut à distance, sans aucun contrôle de GateKeeper.

La faille par l’exemple

Filippo détaille le problème avec un exemple. « Pour mieux comprendre le fonctionnement de cet exploit, considérons le scénario suivant: un attaquant crée un fichier zip contenant un lien symbolique vers un point de montage automatique qu’il / elle contrôle (ex Documents -> /net/evil.com/Documents) et l’envoie à la victime. La victime télécharge l’archive malveillante, l’extrait et suit le lien symbolique.

À présent, la victime se trouve dans un emplacement contrôlé par l’attaquant, mais approuvé par Gatekeeper. Ainsi, tout exécutable contrôlé par l’attaquant peut être exécuté sans aucun avertissement. La façon dont le Finder est conçu (ex. Cacher les extensions .app, cacher le chemin complet depuis la barre de titre) rend cette technique très efficace et difficile à repérer. »

macOS 10.14.5 toujours concerné

Le chercheur a alerté Apple le 22 février dernier, et la Pomme était censée combler cette faille avec macOS 10.14.5, estime-t-il. Las, tel n’a pas été le cas et à ce stade cette faille de sécurité demeure active. La Pomme ne répondant plus à ses mails, et 3 mois s’étand écoulés depuis sa mise en garde, il a décidé de publier cet exploit.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.