Microsoft a divulgué les détails d’une faille de sécurité désormais corrigée dans Apple macOS qui pourrait être exploitée par un attaquant pour contourner les protections de sécurité imposées pour empêcher l’exécution d’applications malveillantes.
La lacune, surnommée Achille (CVE-2022-42821score CVSS : 5,5), a été abordée par le fabricant d’iPhone en Mac OS Ventura 13, Monterrey 12.6.2et Big Sur 11.7.2le décrivant comme un problème logique qui pourrait être militarisé par une application pour contourner les vérifications Gatekeeper.
« Les contournements de Gatekeeper tels que celui-ci pourraient être exploités comme vecteur d’accès initial par des logiciels malveillants et d’autres menaces et pourraient aider à augmenter le taux de réussite des campagnes malveillantes et des attaques sur macOS », Jonathan Bar Or de l’équipe de recherche Microsoft 365 Defender m’a dit.
Gatekeeper est un mécanisme de sécurité conçu pour garantir que seules les applications de confiance s’exécutent sur le système d’exploitation. C’est forcée au moyen d’un attribut étendu appelé « com.apple.quarantine » qui est attribué aux fichiers téléchargés depuis Internet. Il est analogue au drapeau Mark of the Web (MotW) de Windows.
Ainsi, lorsqu’un utilisateur sans méfiance télécharge une application potentiellement dangereuse qui se fait passer pour un logiciel légitime, la fonction Gatekeeper empêche l’exécution des applications car elle n’est pas valablement signée et notariée par Apple.
Même dans les cas où une application est approuvée par Apple, les utilisateurs reçoivent une invite lorsqu’elle est lancée pour la première fois pour demander leur consentement explicite.
Compte tenu du rôle crucial joué par Gatekeeper dans macOS, il est difficile de ne pas imaginer les conséquences d’un contournement de la barrière de sécurité, qui pourrait effectivement permettre aux acteurs de la menace de déployer des logiciels malveillants sur les machines.
La vulnérabilité Achilles identifiée par Microsoft exploite un modèle d’autorisation appelé Access Control Lists (ACL) pour ajouter des autorisations extrêmement restrictives à un fichier téléchargé (c’est-à-dire « tout le monde refuse l’écriture,writeattr,writeextattr,writesecurity,chown »), empêchant ainsi Safari de définir l’attribut étendu de quarantaine.
Dans un scénario d’attaque hypothétique, un adversaire pourrait adopter la technique pour créer une application malveillante et l’héberger sur un serveur, qui pourrait ensuite être livrée à une cible potentielle via l’ingénierie sociale, des publicités malveillantes ou un point d’eau.
La méthode contourne également la nouvelle stratégie d’Apple Mode de verrouillage dans macOS Ventura – un paramètre restrictif opt-in pour contrer les exploits sans clic – nécessitant que les utilisateurs appliquent les dernières mises à jour pour atténuer les menaces.
« Les fausses applications restent l’un des principaux vecteurs d’entrée sur macOS, ce qui indique que les techniques de contournement de Gatekeeper sont une capacité attrayante et même nécessaire pour les adversaires à exploiter dans les attaques », a déclaré Bar Or.
