De nouvelles méthodes pour contourner la sécurité de macOS ont été découvertes

Bien qu’Apple fasse la promotion de la sécurité sur macOS, il semble qu’elle puisse bien être plus friable qu’on ne le pense.

Selon un nouveau rapport de la société de cybersécurité Malwarebytes, une poignée de vulnérabilités et de failles présentées lors de la conférence Objective by the Sea (OBTS) illustrent l’évolution des attaques ciblant les Mac. OBTS est la seule conférence sur la sécurité qui se concentre uniquement sur les appareils et produits Apple.

Deux attaques mises en scène.
Les chercheurs en sécurité ont fait la démonstration de deux attaques qui ont contourné les systèmes de transparence, de consentement et de contrôle d’Apple – des mécanismes qui exigent du contenu utilisateur pour accéder à des données spécifiques.

Une attaque impliquait un attaquant distant disposant de droits root et accordant un accès aux données à un processus malveillant en créant simplement un nouvel utilisateur sur le système et en lui faisant accorder les droits. Une autre vulnérabilité exploite les points de montage des fichiers d’image disque. En fait, le chercheur a pu modifier une base de données de permissions spécifique et accorder des permissions Transparency Consent and Control (TCC) à presque tous les processus.

Une autre vulnérabilité démontrée lors de la conférence OBTS concerne les types de données que les protections TCC du Mac défendent. Par exemple, un logiciel malveillant peut potentiellement collecter des données à partir du dossier.ssh, qui est utilisé pour stocker les certificats qui authentifient les connexions. Selon Malwarebytes, cela pourrait permettre à un attaquant de “se déplacer” dans l’infrastructure d’une organisation s’il obtenait l’accès à ce dossier.

À la source de MacOS.
D’autres attaques ont fait leur apparition lors de la conférence OBTS, notamment celles qui ciblent ou contournent les protections des installateurs d’Apple.

Le malware Silver Sparrow, par exemple, utilise le fichier Distribution sur un système Mac, qui sert à transmettre des informations et des options pour un installateur. Du code JavaScript peut être exécuté dans le fichier de distribution, ce qui ouvre la voie à des attaques potentielles. Plus précisément, Silver Sparrow a utilisé un script initialement destiné à vérifier si un système répondait aux exigences d’installation pour télécharger et installer secrètement des logiciels malveillants.

L’OBTS a également mis en lumière au moins deux autres vulnérabilités, notamment des plugins d’installation conçus de manière malveillante pour installer des programmes sur un système et une faille dans macOS qui pourrait permettre à une application Mac de contourner entièrement Gatekeeper.

Conclusion.
Les conférences de ce type sont importantes pour comprendre comment les attaquants et leurs méthodes évoluent. Comme tous les systèmes d’exploitation, macOS représente une cible mouvante pour les attaquants, car il acquiert de nouvelles fonctionnalités et de nouvelles formes de protection au fil du temps. Espérons qu’Apple fasse le maximum pour renforcer de plus en plus la sécurité de ses machines.