Apple patch un bug de macOS exploité par le malware Shlayer

0

Apple a corrigé une vulnérabilité zero-day dans macOS qui est exploitée par le malware Shlayer pour contourner les contrôles de sécurité de File Quarantine, Gatekeeper et Notarization d’Apple et télécharger des charges utiles malveillantes de deuxième étape.

Par le passé, les créateurs de Shlayer ont réussi à obtenir leurs charges utiles malveillantes grâce au processus automatisé de notarisation d’Apple.

S’ils réussissent ce contrôle de sécurité automatisé, les applications macOS sont autorisées par Gatekeeper — une fonctionnalité de sécurité macOS qui vérifie si les applications téléchargées ont été scanné pour du contenu malveillant connu — à s’exécuter sur le système.

Dans le passé, Shlayer a également utilisé une technique vieille de deux ans pour intensifier les privilèges et désactiver le Gatekeeper de macOS pour exécuter des charges utiles non signées de deuxième étape dans une campagne détectée par l’Unité d’analyse des menaces de Carbon Black.

Une faille zero-day exploitée pour déployer le malware

L’équipe de détection de Jamf Protect a découvert qu’à partir de Janvier 2021, les opérateurs de Shlayer ont créé des échantillons de Shlayer non signés et ont commencé à exploiter une vulnérabilité zero-day (identifiée sous le nom de CVE-2021-30657), découverte et signalée à Apple par l’ingénieur en sécurité Cedric Owens.

Comme l’a révélé le chercheur en sécurité Patrick Wardle, ce bogue désormais corrigé tire parti d’une faille logique dans la façon dont Gatekeeper a vérifié si les packs d’applications étaient notariés pour fonctionner sur des systèmes macOS entièrement patchés.

Wardle a ajouté que « cette faille peut entraîner une classification erronée de certaines applications, et donc pousser le moteur de stratégie à sauter la logique de sécurité essentielle tel que alerter l’utilisateur et bloquer l’application.

Contrairement aux variantes précédentes qui obligeaient les victimes à faire un clic-droit, puis à ouvrir le script de l’installateur, les variantes récentes de logiciels malveillants abusant de cette faille et distribuées à l’aide des résultats de moteurs de recherche et des sites Web compromis peuvent être lancées en faisant un double-clic.

Récemment, Apple a publié une mise à jour de sécurité pour corriger la vulnérabilité dans macOS Big Sur 11.3 et bloquer les campagnes de logiciels malveillants actives.

Les utilisateurs sont maintenant alertés que les applications malveillantes « ne peuvent pas être ouvertes parce que le développeur ne peut pas être identifié » et conseillés d’éjecter l’image du disque monté, car il peut contenir des logiciels malveillants.

apple shlayer

Le malware Shlayer cible les ordinateurs macOS d’Apple

Shlayer est un cheval de Troie à plusieurs étapes qui a attaqué plus de 10% de tous les Mac, selon un rapport de Kaspersky datant de Janvier 2020.

L’équipe de recherche d’Intego a repéré Shlayer pour la première fois dans une campagne de logiciels malveillants en Février 2018, camouflé comme un faux installateur d’Adobe Flash Player tout comme beaucoup d’autres familles de logiciels malveillants ciblant les utilisateurs de macOS.

Contrairement aux variantes originales, qui ont été répandues via des sites torrent, de nouveaux échantillons de Shlayer sont maintenant diffusés via de fausses mises à jour pop-ups affichées sur des domaines détournés ou des clones de sites légitimes, ou dans des campagnes de malvertising de grande envergure ciblant les sites Web légitimes.

Après avoir infecté un ordinateur Mac, Shlayer installe le logiciel proxy mitmdump et un certificat de confiance pour analyser et modifier le trafic HTTPS, lui permettant de surveiller le trafic du navigateur des victimes ou d’injecter des annonces et des scripts malveillants dans les sites visités.

Pire encore, cette technique permet au malware de modifier le trafic chiffré, comme les services bancaires en ligne et les e-mails sécurisés.

Alors que les créateurs de Shlayer ne déploient actuellement que des logiciels publicitaires en tant que charge utile secondaire, ils peuvent rapidement passer à des charges utiles plus dangereuses telles que les ransomwares ou les wipers à tout moment.

Une autre correction de faille zero-day

Un autre bug zero-day de WebKit Storage exploité dans la nature, identifié comme CVE-2021-30661, impacte les appareils iOS et watchOS. Ce bug a été corrigé en améliorant la gestion de la mémoire.

La vulnérabilité permet aux attaquants d’exécuter du code arbitraire après avoir poussé des cibles à ouvrir un site Web malicieusement conçu sur leurs appareils.

La liste des appareils concernés inclut ceux qui utilisent:

  • Apple Watch Series 3 et versions plus récentes
  • iPhone 6s et plus récents, iPad Pro (tout les modèles), iPad Air 2 et plus récent, iPad de 5ème génération et plus récent, iPad mini 4 et plus récent, et iPod touch (7ème génération)

Au total, avec les mises à jour de sécurité récentes pour les bogues de macOS et iOS exploités dans la nature, Apple a adressé 9 zero-day depuis le mois de Novembre.

L’entreprise a corrigé trois autres zero-day d’iOS : un bogue d’exécution de code à distance (CVE-2020-27930), une fuite de mémoire du noyau (CVE-2020-27950) et une faille d’élévation de privilège du noyau (CVE-2020-27932) affectant les iPhone, iPad et iPod en Novembre.

En Janvier, Apple a corrigé un bogue d’état de course dans le noyau iOS (identifié sous le nom de CVE-2021-1782) et deux failles de sécurité WebKit (identifiées comme CVE-2021-1870 et CVE-2021-1871).

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.