Une vulnérabilité non corrigée dans macOS Mojave permet aux attaquants de contourner complètement la fonction de sécurité Gatekeeper. Apple a été informé pour la première fois de la faille le 22 février, mais la mise à jour de macOS 10.14.5 de la semaine dernière n'a pas corrigé la vulnérabilité même si elle devait.
Gatekeeper est une fonctionnalité de sécurité de macOS qui applique la signature de code et vérifie les applications téléchargées avant de les ouvrir, ce qui réduit la probabilité d'exécuter par inadvertance des logiciels malveillants.
Selon le chercheur en sécurité Filippo Cavallarin qui a découvert et signalé cette surveillance de la sécurité dans macOS à Apple, via AppleInsider, une application malveillante exploiterait le fait que Gatekeeper considère les disques externes et les partages réseau comme des «emplacements sûrs». Par conséquent, toute application exécutée à partir de ces emplacements se déroulera sans l'intervention de Gatekeeper.
Voici une vidéo montrant la preuve de concept en action.
En combinant cette conception de Gatekeeper avec une paire de fonctionnalités légitimes dans macOS, une partie voyou pourrait complètement modifier le comportement prévu de Gatekeeper, a averti le chercheur..
D'accord, quelles sont les deux caractéristiques légitimes?
La première fonctionnalité légitime est le montage automatique (également connu sous le nom d'autofs) qui vous permet de monter automatiquement un partage réseau en accédant à un chemin spécial, dans ce cas, tout chemin commençant par '/ net /'. La deuxième caractéristique légitime est que les archives ZIP peuvent contenir des liens symboliques pointant vers un emplacement arbitraire (y compris les points de terminaison 'automount') et que le désarchiveur de macOS n'effectue aucune vérification sur les liens symboliques avant de les créer.
Que diriez-vous d'un exemple illustratif du fonctionnement de cet exploit?
Prenons le scénario suivant: un attaquant crée un fichier ZIP contenant un lien symbolique vers un point de terminaison de montage automatique qu'il contrôle (par exemple, Documents -> /net/evil.com/Documents) et l'envoie à la victime. La victime télécharge l'archive malveillante, l'extrait et suit le lien symbolique.
C'est terrible, la plupart des gens ne peuvent pas distinguer les liens symboliques des vrais fichiers.
Désormais, la victime se trouve dans un emplacement contrôlé par l'attaquant mais approuvé par Gatekeeper, de sorte que tout exécutable contrôlé par l'attaquant peut s'exécuter sans avertissement. La façon dont le Finder est conçu pour masquer les extensions d'application et le chemin complet du fichier dans les barres de titre des fenêtres rend cette technique très efficace et difficile à repérer..
Cavallarin dit qu'Apple a cessé de répondre à ses courriels après avoir été alerté du problème le 22 février 2019. "Comme Apple est au courant de mon délai de divulgation de 90 jours, je rends ces informations publiques", a-t-il écrit sur son blog..
Aucun correctif n'est disponible pour l'instant.
Apple corrigera certainement cette faille dans la prochaine mise à jour. Jusque-là, une solution de contournement possible consiste à désactiver la fonction «montage automatique» conformément aux instructions fournies au bas du billet de blog de Cavallarin.
Avez-vous été affecté par cette vulnérabilité?
Si oui, nous aimerions connaître votre opinion dans les commentaires!