Avec le lancement de Windows 10, on aurait presque oublié Mac OS X. Les hackers ne l’oublient pas et avec le développement des Mac (cf le mega contrat entre Apple et IBM qui pourrait s’équiper de 200 000 Macbook), ces derniers deviennent des cibles pour les cybercriminels.
En quelques jours, deux équipes de chercheurs ont démontré les faiblesses de sécurité de l’OS et des ordinateurs d’Apple. Premier en piste, des chercheurs de Malwarebytes ont découvert un installateur de logiciel malveillant qui s’appuie sur une faille zero day. Cette dernière a été trouvée la semaine dernière par Stefan Esser dans les dernières versions de Mac OS X.
Dans un blog, il explique que la faille se situe dans le dynamic Linker (dyld) qui charge et lie entre elles les bibliothèques partagées. Or dans Yosemite, Apple a rajouté une nouvelle variable à dyld, dont une « DYLD_PRINT_TO_FILE », qui permet la journalisation des erreurs dans un fichier arbitraire. Avec cette vulnérabilité, un attaquant peut avoir une élévation de privilèges pour obtenir le statut d’administrateur. La faille est présente dans la version actuelle de Yosemite (10.10.4) ainsi que dans les beta d’OS X 10.10.5. Mais elle n’est pas présente sur Mac OS X El Capitan.
Les chercheurs de Malwarebit ont donc débusqué une attaque s’appuyant sur cette faille. « Le script qui exploite la vulnérabilité de DYLD_PRINT_TO_FILE est écrit dans un fichier, puis exécuté. Une fois cette opération réalisée, une partie du script se supprime automatiquement. Le cœur du script peut alors modifier les fichiers sudoers. Ce changement peut donner au script la capacité d’accéder aux commandes Shell pour exécuter en tant qu’administrateur une commande sudo sans avoir besoin d’entrer un mot de passe ». Le véhicule pour cette attaque était un adware sur Mac qui s’appelle VSearch. En complément, les chercheurs ont découvert la présence d’une variante d’un autre adware, Geneo, ainsi que le junkware MacKeeper. Les spécialistes constatent qu’Apple n’a toujours pas corrigé la faille incriminée.
Les Mac sont aussi vulnérables à un autre type d’attaques, sur le firmware. Trammell Hudson et Xeno Kovah ont travaillé sur une évolution du bootkit nommé Thunderstrike. Ce dernier a été découvert au printemps dernier permettait d’installer un firmware malveillant capable de résister à un reboot et à une réinstallation système. Thunderstrike 2 qui va être présenté à la BlackHat diffère de son prédécesseur par le fait que l’attaquant n’ait pas besoin d’accéder physiquement au Mac. L’attaque peut s’effectuer à distance et elle se réplique via les périphériques.
Pour leur démonstration, ils ont élaboré un POC qui a permis d’infecter deux Macbook sans qu’ils soient reliés en réseau. Ce type d’attaques est très difficile à découvrir et de s’en prémunir. La seule méthode pour se protéger est de mettre à jour le firmware de la puce, un processus complexe. Une complexité qui cantonne ce genre d’attaques à des organisations qui ont le temps, les moyens et l’argent pour les réaliser.
A lire aussi :
Des failles zero day sur Mac OS X et iOS ignorées par Apple
Un ancien de la NSA se joue de la sécurité de Mac OS X
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…