Un chercheur trouve une faille dans le Gatekeeper d'Apple dans le patch Mac

Le chercheur dit que le dernier patch de sécurité d’Apple dans Gatekeeper peut encore être contourné

Apple a introduit Gatekeeper dans OS X 10.8 Mountain Lion et il a également été intégré dans son prédécesseur, OS X 10.7.5 Lion, pour empêcher les logiciels malveillants de semer le chaos sur les ordinateurs Mac. Cependant, à la fin septembre de l’année dernière, des rapports ont révélé qu’un chercheur avait découvert un contournement de Gatekeeper qui est très facile à réaliser.

Patrick Wardle, directeur de la recherche chez la société Synack, a déclaré dans une interview qu’il avait rétro-ingénierie un patch qu’Apple avait publié en octobre et a découvert que ce n’était pas tout à fait la solution dans Gatekeeper, sa technologie de sécurité qui bloque l’installation d’applications nuisibles.

Même avec Gatekeeper à ses paramètres les plus stricts, Wardle a partagé qu’il peut être contourné par l’utilisation de bundles d’applications. Bien que Gatekeeper effectue plusieurs vérifications sur les applications avant qu’elles ne soient lancées sur un Mac, il n’empêche pas les applications de s’exécuter ou de charger d’autres applications ou bibliothèques dynamiques à partir d’un répertoire alternatif. Cela est dû au fait que Gatekeeper ne vérifie que la première application que l’utilisateur lance.

L’objectif principal du programme de sécurité est de vérifier la signature numérique de l’application. Si l’application avait la signature numérique d’Apple, alors Gatekeeper permettrait à l’utilisateur d’installer l’application. La même chose s’est produite avec la signature numérique des applications tierces.

Mais il semble que le Gatekeeper n’était pas fiable. En fait, très souvent, des applications apparemment légitimes disponibles sur le web contenaient du code malveillant.

Après de nombreux essais et erreurs, Apple a réussi à publier un nouveau patch, un qui sera capable de réparer toute faille dans le filet de sécurité. Découvrant le dernier ajout d’Apple au Gatekeeper, Wardle a pris sur lui de tester la force du programme.

C’est lui qui a déclaré que le nouveau patch était si inefficace en termes de sécurité qu’il a réussi à le contourner en seulement 5 minutes.

Depuis 2012, le système anti-malware intégré Gatekeeper est une fonctionnalité d’OS X d’Apple. “Le problème est que Gatekeeper ne fait aucune analyse à l’exécution ou analyse des composants secondaires”. L’idée ici est de bloquer les logiciels malveillants sur les Mac : seuls les développeurs de logiciels qu’Apple a approuvés peuvent faire fonctionner des logiciels sur la plateforme.

Selon un représentant d’Apple, les nouveaux fichiers que Wardle a signalés en privé ont été bloqués à l’aide de XProtect, une fonctionnalité anti-malware qui complète Gatekeeper.

Ci-dessous se trouve une vidéo de preuve de concept fournie par Patrick Wardle. “Cependant, le problème de base n’est pas résolu, donc si quelqu’un trouve une autre application qui peut être abusée, nous revenons à la case départ”.

Dans son mode le plus restrictif, le Gatekeeper d’Apple est conçu pour arrêter l’exécution de tous les programmes obtenus en dehors des applications OS X de confiance et du Mac AppStore.

Wardle a critiqué l’approche d’Apple qui consiste à mettre sur liste noire seulement un petit nombre d’applications pouvant être utilisées pour exploiter la vulnérabilité plutôt que de corriger la cause sous-jacente de l’échec. “Il ne se soucie pas de savoir si l’exécutable a été exécuté par l’utilisateur ou si un attaquant abusait d’un code signé pour le déclencher”.

Lors de la convention de sécurité ShmooCon, Wardle va publier un outil appelé Ostiarius, le mot latin pour Gatekeeper, qu’il dit accomplir ce qu’Apple aurait dû faire dès le départ pour corriger Gatekeeper.

Il surveille tous les nouveaux processus créés dans le noyau d’OS X. Si un processus n’est pas signé numériquement et provient d’un exécutable téléchargé depuis Internet, il est arrêté.

“C’est une sorte d’approche globale,” a déclaré Wardle. “Il ne se soucie pas de savoir si l’exécutable a été exécuté par l’utilisateur ou si un attaquant abusait d’un code signé pour le déclencher”.

Apple travaille avec Wardle et devrait publier un autre patch bientôt. Wardle recommande aux utilisateurs de télécharger des applications directement depuis la boutique en ligne d’Apple jusqu’à ce qu’une autre version du bloqueur d’applications soit lancée. De plus, les utilisateurs doivent télécharger ces applications via une connexion Internet sécurisée/chiffrée.