Une faille de Gatekeeper exploitée par des pirates pour attaquer macOS

0

Apple a déployé une mise à jour des systèmes d’exploitation macOS pour remédier à une vulnérabilité exploitée qui permet de contourner toutes les protections de sécurité, permettant ainsi aux logiciels non approuvés de fonctionner sur Mac.

La faille de macOS, identifiée comme CVE-2021-30657, a été découverte et signalée à Apple par l’ingénieur en sécurité Cedric Owens le 25 mars 2021.

« Une application de preuve de concept non signée, non répertoriée […] pourrait contourner trivialement et de manière fiable tous les mécanismes de sécurité pertinents de macOS (File Quarantine, Gatekeeper et Notarization), même sur un système macOS M1 entièrement patché », a expliqué Patrick Wardle, chercheur en sécurité, dans un article. « Armé d’une telle capacité les auteurs de logiciels malveillants pour macOS pourraient (et sont) de retour à leurs méthodes éprouvées de ciblage et d’infection d’utilisateurs de macOS. »

apple macOS

Le macOS d’Apple est livré avec une fonctionnalité appelée Gatekeeper, qui permet uniquement aux applications de confiance d’être exécuté en s’assurant que le logiciel a été signé par l’App Store ou par un développeur enregistré et a autorisé un processus automatisé appelé « app notarization » qui scanne le logiciel pour du contenu malveillant.

Mais la nouvelle faille découverte par Owens pourrait permettre à un adversaire d’élaborer une application malveillante d’une manière qui tromperait le service Gatekeeper et serait exécuté sans déclencher d’avertissement de sécurité. La ruse consiste à emballer un script shell malveillant comme une « application double-cliquable » de sorte que le malware pourrait être double-cliqué et exécuter comme une application.

« C’est une application car vous pouvez doubler cliquez dessus et macOS le considère comme une application lorsque vous faites un clic-droit -> Obtenir des informations sur la charge utile », a déclaré Owens. « Pourtant, c’est aussi un script shell car les scripts shell ne sont pas vérifiés par Gatekeeper, même si l’attribut de quarantaine est présent. »

Selon jamf, la société de sécurité macOS, les hackers derrière le logiciel malveillant Shlayer a abusé de la vulnérabilité de contournement de Gatekeeper depuis le 9 Janvier 2021. Distribué via une technique appelée empoisonnement des moteurs de recherche ou spamdexing, Shlayer représente près de 30% de toutes les détections sur la plate-forme macOS, avec un système sur dix rencontrant l’adware au moins une fois, selon les statistiques de Kaspersky pour l’année 2019.

gatekeeper macOS shlayer
macOS gatekeeper

L’attaque fonctionne en manipulant les résultats des moteurs de recherche pour faire apparaître les liens malveillants qui, lorsque un utilisateur clique dessus, redirigent les utilisateurs vers une page Web qui invite les utilisateurs à télécharger une mise à jour apparemment bénigne pour un logiciel obsolètes. Dans cette campagne, la mise à jour est en fait un script bash conçu pour récupérer les charges utiles de l’étape suivante, y compris l’adware Bundlore. Ce type d’infection pourrait être exploité pour fournir des menaces plus avancées telles que des logiciels espions et des ransomwares.

En plus de la vulnérabilité susmentionnée, les mises à jour traitent également d’une faille critique dans WebKit Storage (identifiée comme CVE-2021-30661) qui concerne une faille arbitraire d’exécution de code dans iOS, macOS, tvOS, et watchOS lors du traitement du contenu Web malveillant.

« Apple est au courant d’un rapport que ce problème peut avoir été activement exploité », a déclaré la société dans un document de sécurité, ajoutant avoir adressé la faille use-after-free avec une meilleure gestion de la mémoire.

En dehors de ces mises à jour, Apple a également déployé iCloud pour Windows 12.3 avec des correctifs pour quatre failles de sécurité dans WebKit et WebRTC. Ces vulnérabilités pourraient permettre de lancer des attaques XSS (CVE-2021-1825) et de corrompre la mémoire du noyau (CVE-2020-7463).

Les utilisateurs d’appareils Apple doivent mettre à jour vers les dernières versions afin d’atténuer le risque associé aux vulnérabilités.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.