Microsoft a divulgué les détails d’une faille de sécurité désormais corrigée dans Apple macOS qui pourrait être exploitée par un attaquant pour contourner les protections de sécurité imposées pour empêcher l’exécution d’applications malveillantes.

Le défaut, surnommé Achille (CVE-2022-42821, score CVSS : 5,5), a été résolu par le fabricant d’iPhone dans macOS Ventura 13, Monterey 12.6.2 et Big Sur 11.7.2, le décrivant comme un problème logique qui pourrait être militarisé par une application pour contourner les contrôles Gatekeeper.

« Les contournements de Gatekeeper tels que celui-ci pourraient être exploités comme vecteur d’accès initial par des logiciels malveillants et d’autres menaces et pourraient aider à augmenter le taux de réussite des campagnes malveillantes et des attaques sur macOS », a déclaré Jonathan Bar Or de l’équipe de recherche Microsoft 365 Defender.

Gatekeeper est un mécanisme de sécurité conçu pour garantir que seules les applications de confiance s’exécutent sur le système d’exploitation. Ceci est appliqué au moyen d’un attribut étendu appelé « com.apple.quarantine » qui est attribué aux fichiers téléchargés depuis Internet. Il est analogue au drapeau Mark of the Web (MotW) de Windows.

Ainsi, lorsqu’un utilisateur sans méfiance télécharge une application potentiellement dangereuse qui se fait passer pour un logiciel légitime, la fonction Gatekeeper empêche l’exécution de l’application car elle n’est pas valablement signée et notariée par Apple.

Même dans les cas où une application est approuvée par Apple, les utilisateurs reçoivent une invite lorsqu’elle est lancée pour la première fois pour demander leur consentement explicite.

Compte tenu du rôle crucial joué par Gatekeeper dans macOS, il est difficile de ne pas imaginer les conséquences d’un contournement de la barrière de sécurité, qui pourrait effectivement permettre aux acteurs de la menace de déployer des logiciels malveillants sur les machines.

La vulnérabilité Achilles identifiée par Microsoft exploite un modèle d’autorisation appelé listes de contrôle d’accès (ACL) pour ajouter des autorisations extrêmement restrictives à un fichier téléchargé (c’est-à-dire « tout le monde refuse d’écrire, écrireattr, écrireextattr, écriresécurité, chown »), empêchant ainsi Safari de définir le attribut étendu de quarantaine.

Dans un scénario d’attaque hypothétique, un adversaire pourrait adopter la technique pour créer une application malveillante et l’héberger sur un serveur, qui pourrait ensuite être livrée à une cible potentielle via l’ingénierie sociale, des publicités malveillantes ou un point d’eau.

La méthode contourne également le nouveau mode de verrouillage d’Apple dans macOS Ventura – un paramètre restrictif opt-in pour contrer les exploits sans clic – obligeant les utilisateurs à appliquer les dernières mises à jour pour atténuer les menaces.

« Les fausses applications restent l’un des principaux vecteurs d’entrée sur macOS, ce qui indique que les techniques de contournement de Gatekeeper sont une capacité attrayante et même nécessaire pour les adversaires à exploiter dans les attaques », a déclaré Bar Or.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *