Une vulnérabilité de macOS Gatekeeper découverte par un chercheur en sécurité le mois dernier a maintenant été exploitée dans ce qui semble être un test par une société de logiciels publicitaires.

Gatekeeper est conçu pour garantir que les applications Mac sont légitimes en vérifiant que le code a été signé par Apple. Toute application qui échoue à cette vérification ne devrait pas être autorisée à s’installer sans que l’utilisateur ne reconnaisse le risque et n’accorde l’autorisation explicite de continuer…

Cependant, le chercheur en sécurité Filippo Cavallarin a attiré l’attention le mois dernier sur un problème à ce sujet.

La fonctionnalité de Gatekeeper peut être complètement contournée. Dans sa mise en œuvre actuelle, Gatekeeper considère à la fois les disques externes et les partages réseau comme des « emplacements sûrs ». Cela signifie qu’il permet à toute application contenue dans ces emplacements de s’exécuter sans vérifier à nouveau le code. Il poursuit en expliquant que l’utilisateur peut « facilement » être amené à monter un lecteur de partage réseau, et que tout ce qui se trouve dans ce dossier peut alors passer par Gatekeeper.

Ainsi, une application signée peut être utilisée pour autoriser d’autres applications non signées.

Cavallarin a agi de manière responsable en donnant à Apple 90 jours pour corriger la vulnérabilité avant de la divulguer, mais a déclaré que la société ne l’avait pas fait et avait cessé de répondre à ses e-mails.

Publicité
Table des matières hide
1 L’exploitation de la vulnérabilité macOS Gatekeeper
2 Identifier le coupable

L’exploitation de la vulnérabilité macOS Gatekeeper

L’entreprise de sécurité Intego dit maintenant qu’elle a découvert un exemple de cette vulnérabilité étant exploitée, apparemment comme un test par une société de logiciels publicitaires.

Au début de la semaine dernière, l’équipe de recherche sur les logiciels malveillants d’Intego a découvert les premières utilisations connues de la vulnérabilité de Cavallarin, qui semblent avoir été utilisées, du moins au début, comme test de préparation à la distribution de logiciels malveillants.

Le mécanisme d’origine identifié par Cavallarin était via un fichier zip, mais l’échantillon de malware trouvé utilisait à la place une image disque.

Il semble que les fabricants de logiciels malveillants expérimentaient pour voir si la vulnérabilité de Cavallarin fonctionnerait également avec les images disque.

Les fichiers d’image disque étaient soit une image ISO 9660 avec un nom de fichier .dmg, soit un fichier .dmg au format Apple Disk Image, selon l’échantillon. Normalement, une image ISO a une extension de nom de fichier .iso ou .cdr, mais les fichiers .dmg (Apple Disk Image) sont beaucoup plus couramment utilisés pour distribuer des logiciels Mac. (Par ailleurs, plusieurs autres exemples de logiciels malveillants Mac ont récemment utilisé le format ISO, peut-être dans une tentative faible pour éviter la détection par un logiciel anti-malware.)

Intego observé quatre échantillons qui ont été téléchargés sur VirusTotal le 6 juin, apparemment quelques heures après la création de chaque image disque, qui étaient tous liés à une application particulière sur un serveur NFS accessible sur Internet.

Identifier le coupable

Intego dit qu’il y a de bonnes raisons de soupçonner que le test a été effectué par les développeurs du logiciel publicitaire OSX/Surfbuyer.

Les images disque sont déguisées en programmes d’installation d’Adobe Flash Player, qui est l’un des moyens les plus courants pour les créateurs de logiciels malveillants d’inciter les utilisateurs de Mac à installer des logiciels malveillants. La quatrième image disque OSX/Linker est signée par un code d’identification de développeur Apple — Mastura Fenny (2PVD64XRF3) — qui a été utilisé pour signer littéralement des centaines de faux fichiers Flash Player au cours des 90 derniers jours, associés à la famille de logiciels publicitaires OSX/Surfbuyer .

La société affirme que l’exemple repéré n’a rien fait d’autre que de créer un fichier texte temporaire, donnant du poids à l’idée qu’il ne s’agissait que d’un test, et que les fichiers ont depuis été supprimés du serveur, mais cela pourrait rapidement changer.

Étant donné que le fichier .app à l’intérieur des images disque est lié de manière dynamique, il peut changer à tout moment côté serveur, sans que l’image disque n’ait besoin d’être modifiée. Ainsi, il est possible que les mêmes images disque (ou des versions plus récentes qui n’ont jamais été téléchargées sur VirusTotal) aient pu être utilisées ultérieurement pour distribuer une application qui a effectivement exécuté un code malveillant sur le Mac d’une victime.

Intego a signalé l’identifiant de développeur Apple à Apple afin que l’entreprise puisse révoquer le certificat.

Comme toujours, la meilleure pratique consiste à télécharger uniquement des applications à partir du Mac App Store et d’autres sources auxquelles vous faites explicitement confiance, notant que cette vulnérabilité permettrait à un acteur malveillant de fournir des logiciels malveillants aux côtés d’une application légitime.

FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.

Étui En Cuir Macbook

Photo: Shutterstock

Découvrez 9to5Mac sur YouTube pour plus d’actualités Apple :

YouTube video
Rate this post
Publicité
Article précédentLe smartphone Samsung Galaxy M21 Prime Edition devrait bientôt être lancé en Inde
Article suivantGoogle Cloud annonce la plate-forme de machine learning gérée Vertex AI
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici