Pourquoi est-ce important: Lundi, Microsoft a divulgué publiquement une vulnérabilité dans macOS qui pourrait être utilisée pour accéder ou exfiltrer des données utilisateur sensibles. L’exploit est facilité par une faille dans le cadre de transparence, de consentement et de contrôle (TCC). La plate-forme TCC fait partie de macOS qui permet aux utilisateurs de contrôler quelles applications peuvent accéder aux données, fichiers et composants des utilisateurs.
Équipe de recherche Microsoft 365 Defender doublé la vulnérabilité (CVE-2021-300970) « powerdir » du nom de l’exploit logiciel créé par le chercheur de Microsoft Jonathan Bar Or. Microsoft a informé Cupertino de la faille de sécurité en juillet 2021. Apple a corrigé la faille en décembre avec macOS 11.6 et 12.1.
« Nous avons découvert qu’il est possible de modifier par programmation le répertoire personnel d’un utilisateur cible et de créer une fausse base de données TCC, qui stocke l’historique de consentement des demandes d’applications », a expliqué Or. « Si elle est exploitée sur des systèmes non corrigés, cette vulnérabilité pourrait permettre à un acteur malveillant d’orchestrer potentiellement une attaque basée sur les données personnelles protégées de l’utilisateur. »
Les captures d’écran montrent le programme accordant ou l’accès au microphone et à la caméra. Cependant, le TCC maintient également l’autorisation pour d’autres composants, notamment l’enregistrement d’écran, Bluetooth, les services de localisation, les contacts, les photos, etc.
Alors que Microsoft a créé le logiciel spécifiquement pour cette tâche, n’importe quelle application pourrait utiliser la même technique pour exploiter le trou. L’attaquant a besoin d’un accès disque complet à la base de données TCC, qui pourrait être accordé via d’autres méthodes. Une fois acquis, les pirates peuvent attribuer ou réattribuer des autorisations d’accès à leur guise.
Powerdir est le troisième contournement TCC trouvé au cours des deux dernières années. Les deux autres (CVE-2020-9934 et CVE-2020-27937) ont été divulgués et corrigés en 2020. Autre faille (CVE-2021-30713) trouvé l’année dernière dans tous les systèmes d’exploitation d’Apple a permis aux attaquants de contrôler arbitrairement les autorisations, que les pirates ont activement exploités avant d’être corrigés en mai.