Microsoft a dévoilé jeudi les détails d’une nouvelle vulnérabilité qui pourrait permettre à un attaquant de contourner les restrictions de sécurité dans macOS et de prendre le contrôle total de l’appareil pour effectuer des opérations arbitraires sur l’appareil sans être signalé par les solutions de sécurité traditionnelles.

Surnommé « Shrootless » et suivi comme CVE-2021-30892, la « vulnérabilité réside dans la façon dont les packages signés par Apple avec des scripts de post-installation sont installés », Jonathan Bar de Microsoft 365 Defender Research Team Ou mentionné dans une rédaction technique. « Un acteur malveillant pourrait créer un fichier spécialement conçu qui détournerait le processus d’installation. »

Protection de l’intégrité du système (siroter) alias « sans racine » est un fonction de sécurité introduit dans OS X El Capitan qui est conçu pour protéger le système d’exploitation macOS en restreignant un utilisateur racine d’exécuter du code non autorisé ou d’effectuer des opérations susceptibles de compromettre l’intégrité du système.

Plus précisément, SIP permet la modification des parties protégées du système – telles que /System, /usr, /bin, /sbin et /var – uniquement par des processus signés par Apple ou ceux qui ont des droits spéciaux pour écrire dans les fichiers système, comme les mises à jour logicielles Apple et les installateurs Apple, tout en autorisant automatiquement les applications téléchargées depuis le Mac App Store.

L’enquête de Microsoft sur la technologie de sécurité a porté sur les processus macOS autorisés à contourner les protections SIP, conduisant à la découverte d’un démon d’installation de logiciel appelé « system_installd » qui permet à l’un de ses processus enfants de contourner complètement les restrictions du système de fichiers SIP.

Ainsi, lorsqu’un package signé par Apple est installé, il appelle le démon system_installd et tous les scripts de post-installation contenus dans le package sont exécutés en appelant un shell par défaut, qui est le shell Z (zsh) sur macOS.

« Il est intéressant de noter que lorsque zsh démarre, il recherche le fichier /etc/zshenv et, s’il est trouvé, exécute automatiquement les commandes de ce fichier, même en mode non interactif », a déclaré Bar Or. « Par conséquent, pour que les attaquants effectuent des opérations arbitraires sur l’appareil, un chemin entièrement fiable qu’ils pourraient emprunter serait de créer un fichier /etc/zshenv malveillant, puis d’attendre que system_installd invoque zsh. »

L’exploitation réussie de CVE-2021-30892 pourrait permettre à une application malveillante de modifier des parties protégées du système de fichiers, y compris la possibilité d’installer des pilotes de noyau malveillants (aussi appelés rootkits), d’écraser des fichiers système ou d’installer des logiciels malveillants persistants et indétectables. Apple l’a dit corrigé les problème avec des restrictions supplémentaires dans le cadre des mises à jour de sécurité poussées le 26 octobre 2021.

« La technologie de sécurité telle que SIP dans les appareils macOS sert à la fois de protection de base intégrée à l’appareil et de dernière ligne de défense contre les logiciels malveillants et autres menaces de cybersécurité », a déclaré Bar Or. « Malheureusement, les acteurs malveillants continuent de trouver des moyens innovants de franchir ces barrières pour ces mêmes raisons. »