Haro sur la sécurité des Mac d’Apple

Deux découvertes montrent que la sécurité des Mac est toute relative. Des chercheurs ont à la fois trouvé un exploit utilisant une faille zero day récemment découverte et ont créé un prototype d’attaque ciblant le firmware des ordinateurs d’Apple.

Avec le lancement de Windows 10, on aurait presque oublié Mac OS X. Les hackers ne l’oublient pas et avec le développement des Mac (cf le mega contrat entre Apple et IBM qui pourrait s’équiper de 200 000 Macbook), ces derniers deviennent des cibles pour les cybercriminels.

En quelques jours, deux équipes de chercheurs ont démontré les faiblesses de sécurité de l’OS et des ordinateurs d’Apple. Premier en piste, des chercheurs de Malwarebytes ont découvert un installateur de logiciel malveillant qui s’appuie sur une faille zero day. Cette dernière a été trouvée la semaine dernière par Stefan Esser dans les dernières versions de Mac OS X.

Un exploit utilise une faille zero day

Dans un blog, il explique que la faille se situe dans le dynamic Linker (dyld) qui charge et lie entre elles les bibliothèques partagées. Or dans Yosemite, Apple a rajouté une nouvelle variable à dyld, dont une « DYLD_PRINT_TO_FILE », qui permet la journalisation des erreurs dans un fichier arbitraire. Avec cette vulnérabilité, un attaquant peut avoir une élévation de privilèges pour obtenir le statut d’administrateur. La faille est présente dans la version actuelle de Yosemite (10.10.4) ainsi que dans les beta d’OS X 10.10.5. Mais elle n’est pas présente sur Mac OS X El Capitan.

Les chercheurs de Malwarebit ont donc débusqué une attaque s’appuyant sur cette faille. « Le script qui exploite la vulnérabilité de DYLD_PRINT_TO_FILE est écrit dans un fichier, puis exécuté. Une fois cette opération réalisée, une partie du script se supprime automatiquement. Le cœur du script peut alors modifier les fichiers sudoers. Ce changement peut donner au script la capacité d’accéder aux commandes Shell pour exécuter en tant qu’administrateur une commande sudo sans avoir besoin d’entrer un mot de passe ». Le véhicule pour cette attaque était un adware sur Mac qui s’appelle VSearch. En complément, les chercheurs ont découvert la présence d’une variante d’un autre adware, Geneo, ainsi que le junkware MacKeeper. Les spécialistes constatent qu’Apple n’a toujours pas corrigé la faille incriminée.

Un bootkit déployable à distance

Les Mac sont aussi vulnérables à un autre type d’attaques, sur le firmware. Trammell Hudson et Xeno Kovah ont travaillé sur une évolution du bootkit nommé Thunderstrike. Ce dernier a été découvert au printemps dernier permettait d’installer un firmware malveillant capable de résister à un reboot et à une réinstallation système. Thunderstrike 2 qui va être présenté à la BlackHat diffère de son prédécesseur par le fait que l’attaquant n’ait pas besoin d’accéder physiquement au Mac. L’attaque peut s’effectuer à distance et elle se réplique via les périphériques.

Pour leur démonstration, ils ont élaboré un POC qui a permis d’infecter deux Macbook sans qu’ils soient reliés en réseau. Ce type d’attaques est très difficile à découvrir et de s’en prémunir. La seule méthode pour se protéger est de mettre à jour le firmware de la puce, un processus complexe. Une complexité qui cantonne ce genre d’attaques à des organisations qui ont le temps, les moyens et l’argent pour les réaliser.

A lire aussi :

Des failles zero day sur Mac OS X et iOS ignorées par Apple

Un ancien de la NSA se joue de la sécurité de Mac OS X

Crédit Photo : GaudiLab-Shutterstock