Nouvelle vulnérabilité macOS permettant un accès non autorisé aux données

Microsoft Threat Intelligence a révélé jeudi qu’ils avaient découvert une vulnérabilité macOS qui pourrait potentiellement permettre aux attaquants de contourner la technologie de Transparence, Consentement et Contrôle (TCC) du système d’exploitation et d’accéder sans autorisation aux données sensibles d’un utilisateur.

Cette vulnérabilité macOS a été identifiée comme CVE-2024-44133 et surnommée “HM Surf”. Pour ceux qui ne le savent pas, TCC est une technologie qui empêche les applications d’accéder aux informations personnelles de l’utilisateur, y compris les services de localisation, la caméra, le microphone, le répertoire de téléchargements, et d’autres, sans leur consentement et leur connaissance préalables.

Cependant, la vulnérabilité HM Surf implique la suppression de la protection TCC pour le répertoire du navigateur Safari et la modification d’un fichier de configuration dans ledit répertoire.

Cela pourrait permettre aux acteurs de la menace d’accéder sans autorisation aux données sensibles de l’utilisateur, y compris l’historique de navigation, la caméra de l’appareil, le microphone, et même les informations de localisation, sans le consentement de l’utilisateur.

Selon le rapport de Microsoft Threat Intelligence, le contournement dépend de fichiers sensibles dans le répertoire ~/Library/Safari.

L’acteur de la menace pourrait contourner les contrôles de sécurité en modifiant les fichiers sensibles sous le véritable répertoire personnel de l’utilisateur (tel que /Users/$USER/Library/Safari/PerSitePreferences.db) et exploiter les droits et TCC de Safari.

“Lire des fichiers arbitraires du répertoire permet aux attaquants de rassembler des informations extrêmement utiles (comme l’historique de navigation de l’utilisateur),” a déclaré le rapport, ajoutant, “Écrire dans le répertoire permet des contournements de TCC, par exemple, en remplaçant le PerSitePreferences.db.”

Le géant de Redmond a également noté que les protections de surveillance du comportement dans Microsoft Defender for Endpoint avaient observé une activité suspecte associée à un adware macOS connu, Adload, une famille de menaces macOS répandue, exploitant potentiellement cette vulnérabilité.

“Microsoft Defender for Endpoint détecte et bloque l’exploitation de CVE-2024-44133, y compris la modification anormale du fichier Preferences par HM Surf ou d’autres méthodes,” a ajouté le rapport.

Microsoft a partagé ses conclusions avec Apple via la Divulgation de Vulnérabilité Coordonnée (CVD) par le biais de la Recherche sur les Vulnérabilités de Sécurité de Microsoft (MSVR), qui a été corrigée par Apple dans le cadre de ses dernières mises à jour de sécurité pour macOS Sequoia le 16 septembre 2024.

Actuellement, seul le navigateur Safari d’Apple utilise les nouvelles protections offertes par TCC. Microsoft travaille avec d’autres grands fournisseurs de navigateurs, y compris Google et Mozilla, pour enquêter davantage sur les avantages de durcir les fichiers de configuration locaux.

La société encourage fortement les utilisateurs de macOS à appliquer les dernières mises à jour de sécurité d’Apple dès que possible pour se protéger contre cette vulnérabilité.

“Microsoft continue de surveiller le paysage des menaces pour découvrir de nouvelles vulnérabilités et techniques d’attaquants qui pourraient affecter macOS et d’autres appareils non-Windows. Alors que les menaces multiplateformes continuent d’augmenter, une réponse coordonnée aux découvertes de vulnérabilités et d’autres formes de partage de renseignements sur les menaces aidera à enrichir les technologies de protection qui sécurisent l’expérience informatique des utilisateurs, quel que soit la plateforme ou l’appareil qu’ils utilisent,” a conclu le rapport.