gatekeeper

Nouveau malware sur Mac exploite un bug de Gatekeeper

Les chercheurs en sécurité d’Intego mettent en garde contre la possible campagne d’exploitation active d’une vulnérabilité non-patchée dans la fonctionnalité Gatekeeper du système d’exploitation macOS. Un PoC(Proof-of-Concept) de cette faille avait été divulgué le mois dernier.

L’équipe d’Intego a découvert quatre échantillons d’un nouveau malware macOS sur VirusTotal qui utilise la vulnérabilité de contournement de GateKeeper pour exécuter du code sur macOS sans qu’aucune alerte ou demande de permission n’apparaissent pour les utilisateurs.

Cependant, ce nouveau malware, nommé OSX/Linker, semble être encore en phase de développement. Les échantillons ciblent bien la faille de contournement de Gatekeeper mais ne télécharge aucune application malveillante depuis le serveur du hacker.

Selon Joshua Long de Intego, jusqu’à la semaine dernière, les développeurs du malware effectuait seulement des tests de reconnaissance.

“L’un des fichiers était signé avec un Apple Developer ID (comme expliqué ci-dessous), il est évident que les images de disques de OSX/Linker sont le travail des développeurs du adware OSX/Surfbuyer ,” a déclaré Long dans un article.

L’échantillon du malware contient un lien vers un serveur distant, cette partie du code pourrait être utilisé pour distribuer des applications malveillantes depuis leur serveur.

Vulnérabilité de contournement de Gatekeeper

GateKeeper est une fonctionnalité de sécurité intégrée à macOS qui impose du code signé et vérifie les applications téléchargées avant de leurs permettre de s’exécuter, aidant les utilisateurs à protéger leurs systèmes contre les malwares et autres logiciels malveillants.

Si vous téléchargez une application sur Internet, GateKeeper lui permettra de s’exécuter seulement si elle est signée avec un certificat fourni par Apple, sinon un message s’affichera pour vous demander si vous voulez autoriser ou refuser l’exécution.

Gatekeeper a été conçu pour traiter les disques externes (USB ou Disques Durs) et les partages de réseau comme des “emplacements sécurisés” depuis lesquels les utilisateurs peuvent exécuter des applications sans la vérification de GateKeeper.

Filippo Cavallarin, un chercheur en sécurité indépendant, a révélé le mois dernier une façon d’exploiter ce comportement en le combinant avec deux autres fonctionnalité de macOS:

-Les archives Zip peuvent contenir des liens symboliques qui pointent vers un emplacement arbitraire, y compris les points de terminaison auto-montés et la fonctionnalité Auto-monté sur macOS peut automatiquement monté un partage de réseau depuis un serveur distant en y accédant avec un chemin “spécial” commençant avec “/net/.”

“Par exemple, ls /net/evil-attacker.com/sharedfolder/ fera l’OS lire le contenu de ‘DossierPartagé’ sur l’hôte distant en utilisant NFS,” a expliqué Cavallarin sur son blog.

Comme vous avez pu le voir dans la vidéo de démonstration, Cavallarin a créé un fichier ZIP avec un lien symbolique vers un réseau partagé que macOS va auto-monter.

Une fois que la victime ouvre l’archive ZIP et suit le lien, il naviguera vers un réseau partagé contrôlé par le hacker et qui contourne Gatekeeper, il suffit ensuite de pousser la victime à exécuter des fichiers malveillants.

“La conception de Finder (ex: cache les extensions .app, cache le chemin complet sur la barre) rend cette technique très efficace et difficile à repérer,” a déclaré le chercheur.

Cependant, les nouveaux échantillons de malware découverts ne sont pas des fichiers ZIP, mais des fichiers d’image disque (avec l’extension .dmg), cela montre que les développeurs du malware étaient en train d’expérimenter pour voir si cela fonctionnait aussi avec des fichiers d’images disques.

Cavallarin a signalé le bug à Apple le 22 Février et a décidé de partager sa trouvaille avec le public le mois dernier. La compagnie n’a pas régler le problème dans les 90 jours après avoir été alerté et ont ignoré ses emails.

En attendant qu’Apple patch le problème, il est recommandé de bloquer les communications NFS avec les adresses IP externes, et pour les particuliers, il est important de ne pas ouvrir de fichiers joints venant de sources inconnus.

Laisser un commentaire