Microsoft découvre un bug macOS qui contourne la sécurité

Apple a récemment corrigé une vulnérabilité dans le système d’exploitation macOS qui pourrait potentiellement être exploitée par un acteur malveillant pour contourner le mécanisme de sécurité Gatekeeper d’Apple et déployer des logiciels malveillants sur des appareils macOS vulnérables.

Jonathan Bar Or, chercheur principal en sécurité chez Microsoft, a détaillé Gatekeeper, la vulnérabilité capable de le contourner, et les effets de cette faille dans un article de blog sur la sécurité publié lundi.

La recherche a été partagée par Microsoft pour souligner l’importance de la collaboration entre les chercheurs et la communauté de la sécurité afin d’améliorer les défenses pour l’écosystème plus large.

Suivie sous le nom CVE-2022-42821 (surnommée Achilles), la vulnérabilité est liée à un scénario où les attaquants peuvent contourner les restrictions d’exécution des applications imposées par les vérifications de sécurité Gatekeeper d’Apple, qui sont conçues pour garantir que seuls des logiciels de confiance s’exécutent sur les appareils Mac.

Microsoft a partagé la vulnérabilité avec Apple en juillet 2022 par le biais de la Divulgation coordonnée de vulnérabilités (CVD) via la Recherche sur les vulnérabilités de sécurité de Microsoft (MSVR).

Le fabricant de l’iPhone a traité la vulnérabilité Achilles en expédiant une mise à jour dans macOS 13 (Ventura), macOS 12.6.2 (Monterey) et macOS 1.7.2 (Big Sur) le 13 décembre 2022.

« Les contournements de Gatekeeper comme celui-ci pourraient être utilisés comme un vecteur d’accès initial par des logiciels malveillants et d’autres menaces et pourraient aider à augmenter le taux de réussite des campagnes malveillantes et des attaques sur macOS », a écrit Jonathan dans l’article de blog.

Contournement des ACL restrictives de Gatekeeper

Gatekeeper est une fonctionnalité de sécurité de macOS, qui impose la signature de code et vérifie les applications téléchargées avant de leur permettre de s’exécuter, réduisant ainsi la probabilité d’exécuter involontairement des logiciels malveillants.

Lors du téléchargement d’applications depuis un navigateur, comme Safari, le navigateur attribue un attribut étendu spécial nommé com.apple.quarantine au fichier téléchargé. Cela est ensuite utilisé pour appliquer des politiques telles que Gatekeeper.

La conception actuelle de Gatekeeper dicte le comportement suivant pour les applications téléchargées :

2. Si l’application est valablement signée et notariée, c’est-à-dire approuvée par Apple, alors une invite nécessite le consentement de l’utilisateur avant qu’elle ne soit lancée.

3. Sinon, l’utilisateur est informé que l’application ne peut pas être exécutée car elle est non fiable.

« En raison de son rôle essentiel dans l’arrêt des logiciels malveillants sur macOS, Gatekeeper est une fonctionnalité de sécurité utile et efficace », ajoute Jonathan.

« Cependant, étant donné qu’il y a eu de nombreuses techniques de contournement ciblant la fonctionnalité de sécurité dans le passé, Gatekeeper n’est pas infaillible. Acquérir la capacité de contourner Gatekeeper a des implications graves car parfois les auteurs de logiciels malveillants exploitent ces techniques pour un accès initial . »

Pour démontrer la vulnérabilité Achilles, Microsoft a développé une preuve de concept (POC) qui examinait les fichiers AppleDouble abusant des ACL.

Pour ceux qui ne le savent pas, AppleDouble est un format de fichier qui enregistre les métadonnées dans un fichier différent à côté du fichier original, avec un préfixe «._ ».

L’entreprise a décidé d’ajouter des ACL très restrictives aux fichiers téléchargés, ce qui interdisait à Safari (ou à tout autre programme) de définir de nouveaux attributs étendus, y compris l’attribut com.apple.quarantine.

Pour réaliser le POC, Microsoft a créé une structure de répertoire factice avec une icône et un payload arbitraires.

Le géant de Redmond a ensuite créé un fichier AppleDouble avec la clé d’attribut étendu com.apple.ac.text et une valeur représentant une ACL restrictive en sélectionnant l’équivalent de « everyone deny write,writeattr,writeextattr,writesecurity,chown ». Effectuez le patching correct d’AppleDouble si vous utilisez ditto pour générer le fichier AppleDouble.

Enfin, il a créé un payload malveillant archivé au sein de l’application malveillante aux côtés de son fichier AppleDouble et l’a hébergé sur un serveur web.

En conséquence, l’application malveillante, au lieu d’être bloquée par Gatekeeper, a permis aux attaquants de télécharger et de déployer des logiciels malveillants.

« Le mode de verrouillage d’Apple, introduit dans macOS Ventura comme une fonctionnalité de protection optionnelle pour les utilisateurs à haut risque qui pourraient être personnellement ciblés par une cyberattaque sophistiquée, vise à arrêter les exploits d’exécution de code à distance sans clic, et ne défend donc pas contre Achilles », a déclaré l’équipe de renseignement sur les menaces de sécurité de Microsoft lundi.

« Les utilisateurs finaux devraient appliquer le correctif indépendamment de leur statut de mode de verrouillage.