La nouvelle tendance ? Des logiciels antivirus exploités pour lancer une attaque avec élévation des privilèges

Comment les cybercriminels peuvent pénétrer un réseau ou un ordinateur si celui-ci dispose d’un logiciel de sécurité pour empêcher cela ? Certains attaquants connaissent la réponse : il faut attaquer le logiciel en question utilisé pour sécuriser le réseau et l’ordinateur. C’est ce scénario qui a pris vie avec l’antivirus ZoneAlarm et qui est devenu la victime d’une attaque très intelligente visant une vulnérabilité, comme l’a rapporté Illuminant, une entreprise de test de pénétration et de consulting en cybersécurité.

L’exploit est déclenché si Windows dispose d’une version vulnérable des services .Net, créant une faille dans le système où les processus à faibles privilèges se voient attribuer un accès au niveau système. Cet accès est bien plus élevé que le compte de l’utilisateur administrateur lorsqu’il s’agit des tâches liées à la performance du système. Normalement, ce genre d’exploit n’est pas possible, mais en tirant parti de l’antivirus ZoneAlarm installé, le logiciel se transforme en backdoor pour une attaque d’élévation des privilèges utilisant les services .Net pour prendre le contrôle.

N’importe quel produit antimalware normal est conçu pour s’installer profondément dans Windows, pour repousser correctement les malwares. Néanmoins, le revers de la médaille fait que ce processus installe l’antimalware comme un programme avec des privilèges plus élevés que les autres logiciels de l’ordinateur. C’est comme cela que le bug d’élévation des privilèges est possible car le privilège utilisateur du processus antimalware est délibérément hérité de l’exploit.

« C’est une vilaine piqure de rappel pour l’industrie des logiciels de sécurité. Les concepteurs de ce genre de programme doivent être extrêmement attentifs à la sécurité de leur propre logiciel, au risque de voir leur produit devenir la vulnérabilité qui permet la propagation de cyber-attaques plutôt que l’outil de défense contre elles » a expliqué Matija Siljak, co-fondateur d’Illumant.

Cette attaque particulière a été nommée OwnDigo et est le premier genre d’attaque à utiliser le privilège d’un produit antivirus commun déjà installé pour créer cette élévation non-autorisée.

« Dans le cas présent, ce sont les services de ZoneAlarm qui ont été exploités. Mais la méthodologie est applicable à bien d’autres programmes. WCF est largement utilisé dans les applications .NET et les chercheurs indiquent que de nombreuses autres implémentations ne sont pas sécurisées correctement. Dans les faits, d’autres chercheurs ont récemment publié des vulnérabilités similaires, » a ajouté Siljak.

Le concepteur de l’antivirus ZoneAlarm a été informé du bug OwnDigo et travaille actuellement à la résolution du problème. Illuminant a révélé avec beaucoup de responsabilité cette nouvelle découverte très importante car elle pourrait être le début d’une nouvelle tendance où le logiciel lui-même entendu comme la sécurité de l’ordinateur se retrouve être la surface d’attaque même abusée par les auteurs des virus et des cybercriminels.

D’autres vendeurs d’antimalwares doivent vérifier la sécurité de leurs produits, pour éviter une situation comme celle de l’antivirus ZoneAlarm. Il serait bien évidemment contre-productif que l’industrie antimalware crée des logiciels qui deviennent eux-mêmes le relais pour des attaques de pénétration de réseaux normalement sécurisés et privés.

Un nouvel exploit menace plus de 9000 routeurs RV320/RV325 potentiellement piratables de Cisco à travers le monde

Si la connectivité et la sécurité de votre organisation repose sur les routeurs Cisco RV320 ou RV325 Dual Gigabit WAN VPN, vous devez immédiatement installer la dernière mise à jour micrologicielle sortie par le vendeur la semaine dernière.

Des pirates ont largement exploité deux graves vulnérabilités touchant les routeurs et ont été récemment patchées après qu’un chercheur en sécurité ait sorti la preuve de concept de cet exploit la semaine dernière sur Internet. 

Les vulnérabilités en question reposent sur une faille dans l’injection de commandes (nommée CVE-2019-1652) et une faille d’exposition d’informations (nommée CVE-2019-1653),  et la combinaison des deux peut permettre à un attaquant à distance de prendre le plein contrôle d’un routeur Cisco.

Le premier problème se retrouve dans les routeurs RV320 et RV325 Dual Gigabit WAN VPN fonctionnant avec les versions logicielles allant de 1.4.2.15 à 1.4.2.19, et le deuxième affecte les versions 1.4.2.15 et 1.4.2.17, selon les déclarations de Cisco.

Les deux vulnérabilités, découvertes et sagement rapportées à l’entreprise concernée par la firme allemande de sécurité RedTeam Pentesting, résident dans l’interface de gestion basée sur le web et utilisée pour les routeurs, qui se retrouvent exploitables à distance.

•CVE-2019-1652 : La faille permet à un attaquant distant authentifié et avec des privilèges administrateur d’exécuter des commandes arbitraires sur le système de l’appareil affecté.
•CVE-2019-1653 : Cette faille ne nécessite aucune authentification pour atteindre le portail de gestion basée sur le web du routeur, permettant ainsi aux attaquants de soutirer des informations sensibles incluant le fichier de configuration du routeur qui contient les données de connexions hashées en MD5 et les informations de diagnostic.

Le code d'exploitation PoC ciblant les routeurs Cisco RV320 / RV325 publiés sur Internet exploite d'abord CVE-2019-1653 pour extraire le fichier de configuration du routeur afin d'obtenir ses informations d'identification hashées, puis exploite CVE-2019-1652 pour exécuter des commandes arbitraires et obtenir un contrôle total de l’appareil ciblé.

Les chercheurs en cyber-sécurité de chez Bad Packets ont déclaré avoir trouvé au moins 9657 routeurs Cisco à travers le monde (6247 RV320 et 3410 RV325) vulnérables à la possibilité de voir leurs informations exposées, la plupart se trouvant aux Etats-Unis.

L’entreprise a partagé une carte interactive qui recense les routeurs RV320/RV325 vulnérables dans 122 pays et sur le réseau de 1619 fournisseurs de services internet uniques.

Bad Packets a déclaré que ses honeypots avaient détecté, samedi, une activité d’analyse opportuniste visant les routeurs vulnérables de plusieurs hôtes, suggérant que les pirates informatiques essayaient activement d’exploiter les failles pour prendre le contrôle total de ces appareils.

La meilleure manière de vous protéger de ces attaques est d’installer la dernière mise à jour micrologicielle 1.4.2.20 pour les RV320 et RV325 le plus rapidement possible.

Les administrateurs qui n’ont pas encore appliqué la mise à niveau sont vivement incités à modifier les informations de connexion pour le Wifi et leur administration du routeur en se considérant comme déjà compromis.

Cortana quitte la barre de recherche de Windows 10 mais Bing reste

Dans la prochaine version de Windows 10, nommée 19H1, Cortana et la barre de recherche se séparent et déménagent dans des espaces distincts. Malheureusement, c’est la barre de recherche qui récupère la garde de Bing. La version 19H1 de Windows 10 est attendue pour avril 2019.

La séparation a été annoncée par Microsoft dans un post de blog traitant de la construction 18317 de Windows Insider.

Plaisanterie à part, l’intégration approfondie de la recherche et de Cortana fait partie des gros points de vexation sur Windows 10. Nous avons pris du temps pour vous montrer comment masquer et désactiver Cortana, et comment forcer Cortana a effectué les recherches sur Google plutôt que sur Bing. Mais si vous appréciiez et vouliez utiliser la barre de recherche, vous deviez quand même supporter Cortana. Heureusement, Microsoft a enfin pris la mesure de ce problème. Mais malheureusement, vous devrez toujours supporter la recherche en cloud.

Comme montré ci-dessus, dans la version 19H1, vous trouverez une boîte de recherche et une icône Cortana. Vous pouvez les désactiver séparément ou les deux en même temps. Pour désactiver Cortana, faites un clic-droit dans la barre de tâches et décochez « Afficher le bouton Cortana ». Pour désactiver la boîte de recherche, faites un clic-droit dans la barre de tâches et sélectionnez « Recherche> Masquée ». Vous pouvez aussi sélectionner « Afficher l’icône de recherche » si vous préférez voir une icône en forme de loupe qui prendra moins de place sur votre barre de tâches plutôt que la boîte de recherches.

De notre point de vue, le changement n’est pas suffisant. La barre de tâches intègre toujours Bing et il n’est plus possible de le désactiver. Les recherches web intégrées dans les barres de tâches présentent plusieurs problèmes, comme on le voit dans les nouveaux paramètres de recherche.

Comme vous pouvez le constater, Windows propose désormais des options de filtrage des contenus pour adultes sur votre barre de recherche. Et, bien que cela soit une bonne chose sur le principe, le SearchSafe de Bing n’est pas toujours une garantie fiable et les contenus ne sont pas toujours adaptés. En réalité, Bing est même très mauvais à ce niveau.

La prochaine version de Windows simplifiera la gestion des polices et placera l’expérience de démarrage dans un processus dédié pour une plus grande stabilité. En outre, Microsoft a réorganisé les options de Windows Insider pour une mise en page plus simple.

La mise à jour 19H1 de Windows 10 approche à grand pas. Cette dernière mise à niveau d’Insider intègre légèrement plus d’anciennes applications individuelles, telles que Photos, que dans les versions précédentes. Microsoft a verrouillé ces applications pour la version finale et introduit une expérience de prévisualisation si vous souhaitez obtenir les dernières versions, encore instables, des applications.

Google lance une fonctionnalité contre les spams pour les messages Android

Google a récemment présenté une nouvelle fonctionnalité nommée « Protection contre les spams » et qui intègre le service de messagerie texte des appareils Android.

Alors qu’avant, seuls les emails et les appels téléphoniques servaient de relais pour la réception de spams, les pourriels par message texte deviennent de plus en plus communs. Il existe depuis déjà un moment des filtres contre les spams pour les emails et, plus récemment, le filtre téléphonique d’Android permet de renvoyer les appels spams directement sur la boîte vocale.

Aujourd’hui, c’est l’application de messages d’Android qui va bénéficier de cette technologie, un soulagement pour les utilisateurs qui reçoivent régulièrement ce genre de messages indésirables.

Selon Android Police, Google a travaillé plus de 6 mois sur ce projet et sort maintenant cette technologie dans un lancement graduel sur le serveur. Bien qu’elle ne soit pas encore disponible pour tous les utilisateurs, un lancement plus large est attendu pour les prochains mois.

Si vous faites parti de ceux qui reçoivent cette nouvelle technologie sur votre téléphone Android, une notification va apparaitre lorsque vous accédez à vos messages : « Nouveau ! Protection contre les spams ! ». Si vous ne souhaitez pas conserver cette fonctionnalité ou si vous vous inquiétez pour votre vie privée, vous avez la possibilité de la désactiver manuellement en allant dans les Paramètres Avancés et en décochant le « Protection contre les spams. »

De l’autre côté, si vous choisissez de la garder et que votre appareil reçoit un message indésirable, vous recevez une notification vous informant que le message non-lu dans votre boite de réception est un spam. Cela vous permettra de supprimer le message sans l’ouvrir.

Comment cela fonctionne ?

Bien que Google n’ait pas encore fait d’annonce publique – les détails ont été d’abord repérés dans une section de la page d’assistance pour les messages de Google, rendue publique par inadvertance-, il semblerait que la fonctionnalité utilise une analyse statistique pour identifier la possibilité selon laquelle un message soit un potentiel spam en comparant les détails de l’expéditeur avec les messages de spams reconnus.

De plus, la fonctionnalité s’intéresse aussi à vos messages habituels et stocke temporairement les détails de vos correspondances régulières pour pouvoir distinguer plus facilement les messages qui sortent de l’ordinaire.

Des inquiétudes quant à la vie privée ?

C’est une application basée sur le machine-learning sans interface humaine, ce qui est rassurant en termes de sécurité puisque l’application intercepte des messages avant qu’ils n’arrivent dans votre boîte de réception.  A cela s’ajoute le fait que Google affirme qu’il n’y a pas à s’inquiéter pour sa vie privée car les seules informations auxquelles l’application accède sont celles concernant les détails sur l’expéditeur.

Tous les éléments d’identification du message, comme le contenu ou le numéro téléphone de l’utilisateur, sont supprimés. Néanmoins, si vous classez manuellement un message comme un spam, le contenu de ce message sera utilisé pour identifier d’autres messages spams potentiels. Si vous avez des inquiétudes pour votre vie privée, vous pouvez facilement désactiver cette fonctionnalité. Ce sera alors à vous de discerner parmi vos messages lesquels sont sûrs ou non.

Il est difficile de dire si cette application va avoir du succès une fois qu’elle aura été lancée complètement. Néanmoins, de nos jours, protéger les utilisateurs des spams est un composant nécessaire pour les fournisseurs de logiciels et particulièrement aux USA, car les messages commerciaux non sollicités sont considérés comme illégaux. De ce fait, cette technologie peut être considérée comme une nouvelle étape raisonnable et inévitable pour protéger les consommateurs.

Les utilisateurs de Mac ciblés par un malware se servant d’une image publicitaire

La plupart des gens pensent qu’il n’y a que peu voire pas  de malwares ciblant Mac dans le monde civilisé. Malheureusement, cette impression ressemble beaucoup à un vœu pieux.

Et bien, les choses ont pris une forme différente en 2018, et les attaques menées par des groupes APT et ciblant la plateforme macOS ont augmenté. On a aussi pu constater que les criminels essayaient d’exploiter le minage de cryptomonnaies et de cibler ceux qui s’en servent.

Même les analystes qui travaillent sur les malwares et particulièrement sur ceux visant les Mac ont reçu énormément d’échantillons chaque jour, mais chaque nouveau malware ne fait pas l’objet d’un article dédié à chaque fois.

Nous venons de prendre connaissance d’un article rédigé par Lindsey O’Donnell pour  ThreatPost – « Les logiciels malveillants dans les images basées sur des annonces ciblent les utilisateurs Mac ». On y lit que les chercheurs ont détecté 191 970 publicités malveillantes et estime qu’environ 1 million d’utilisateurs Mac utilisateurs ont été touchés.

Les chercheurs déclarent que les attaques ont eu lieu le 11 janvier, répandant de la stéganographie en utilisant des publicités sur le web. C’est une pratique qui consiste à dissimilaire des messages secrets, du code dans des images ou du texte qui semble innocent. La tactique a été utilisée toute l’année dernière, et cela dans des images ajoutées à des sites considérés comme de confiance et même dans des memes sur Twitter.

Un utilisateur Mac tombe sur une annonce contenant une image, mais en réalité, un programme malveillant JavaScript se cache dans le code du fichier image de l’annonce. Lorsque l’utilisateur clique sur la publicité malveillante, il infecte l’appareil Mac avec le cheval de Troie Shlayer, déguisé en mise à niveau de Flash Player et redirige la victime vers un programme d’installation de logiciel publicitaire.

Jérôme Segura, chef du département Threat Intelligence chez Malwarebytes déclare «  le malware agit à la fois comme un cheval de Troie et comme un injecteur de charges supplémentaires, en général des adwares. En conséquence, les utilisateurs peuvent remarquer que leur machine tourne plus lentement que d’habitude et peut être abusé en achetant des applications dont il n’a pas besoin. »

Comme dit précédemment, 191 970 publicités malveillantes ont été détectées jusqu’à présent, et c’est environ 1 million d’utilisateurs estimés qui ont été impactés.

« Les attaquants, au vu des faits, sont actifs depuis des mois, mais n’ont que récemment utilisé la stéganographie pour faire passer le malware via le code d’une image », ont déclaré les chercheurs ce mercredi dans un post décrivant cette campagne de piratage.

Les tendances 2019 pour les antivirus et la cyber-sécurité

Comme toujours, la nouvelle année amène son lot de nouvelles menaces pour la cyber-sécurité. Voici les nouvelles tendances à connaitre pour l’année 2019.

1. Les cyber-attaques sponsorisées par des gouvernements vont aller en grandissant

Les systèmes connectés à Internet sont désormais vitaux pour les économies nationales, en faisant des cibles évidentes lors de conflits. Les évènements en Ukraine ont vu une escalade des cyber-attaques lancées par les deux partis opposés. On doit s’attendre à voir plus de ce genre de faits dans les mois à venir.

2. L’authentification à facteurs multiples va être de plus en plus adoptée

Aussi connue comme l’Authentification Forte du Client (SCA) et Authentification à Deux Facteurs (2FA), cette technique de sécurité renforce la sécurité des comptes. En plus de l’habituel nom d’utilisateur et du mot de passe, vous aurez besoin d’entrer une autre forme d’authentification, comme votre empreinte digitale ou un code unique envoyé sur votre téléphone pour pouvoir vous connecter à des sites web et autres services.

3. Les malwares vont gagner en sophistication

Les hackers retravaillent constamment les outils malwares pour les rendre plus efficaces. L’utilisation des menaces persistantes avancées (APT) va aussi augmenter car les criminels investissent beaucoup de temps et d’effort pour récupérer de plus gros bénéfices.

4. Les cyber-attaques vont cibler des gens, pas des réseaux

L’humain est le maillon faible de chaque système de sécurité. L’efficacité des antimalwares augmentant aussi, les hackers vont concentrer leurs efforts en « attaquant » les gens. Cette année, on verra beaucoup d’emails de phishing et de faux sites web conçus pour vous tromper en partageant vos données sensibles comme les mots de passe et les numéros de cartes de crédit.

5. Les appareils connectés seront plus utilisés dans les attaques

Les appareils connectés à Internet comme les hauts parleurs intelligents et les appareils de domotique offrent aux hackers de nouvelles manières de pénétrer votre réseau local. Les cyber-criminels vont commencer à cibler ces appareils ainsi que votre ordinateur pour voler des données personnelles.

6. Les attaques DDoS vont continuer

Les attaques de dénis de service ne sont pas particulièrement intelligentes mais elles restent relativement concluantes. Surcharger un site web non protégé avec un excès de trafic va l’amener à planter,  les hackers vont donc continuer à utiliser cette technique, en concevant des botnets depuis des ordinateurs comme le votre pour attaquer en masse.

7. Les hackers vont détourner les ressources de votre ordinateur pour miner de la cryptomonnaie

Les cryptomonnaies comme le Bitcoin continuent à avoir du succès, notamment parce n’importe qui peut « faire » de l’argent par lui-même. Avec le bon malware, les hackers prennent le contrôle de votre ordinateur et l’utilise pour « miner » de la monnaie et vous empêche donc d’utiliser son plein potentiel. Comme il y a potentiellement beaucoup d’argent à se faire, ces attaques vont devenir de plus en plus communes.

8. Les malwares vont devenir plus sournois

Puisque les hackers peuvent utiliser les ordinateurs compromis pour une large gamme d’activités (miner de la cryptomonnaie, des botnets pour du DDoS, du vol d’informations, etc.), ils vont souvent avoir accès aux machines. Pour rester furtifs, les malwares vont devoir devenir meilleurs pour se cacher. Durant l’année, on verra de nouvelles variantes malwares qui seront encore plus dures à détecter – ce qui devrait causer pas mal de dommages pendant un certain temps.

9. Le Machine Learning sera vital pour bloquer les nouvelles menaces

Les nouvelles menaces malwares sont développées à un rythme impressionnant, souvent trop rapidement pour que les chercheurs en sécurité traditionnels puissent tenir la cadence. Le Machine Learning, comme utilisé pour la suite de sécurité de Panda Dome, surveille l’activité de l’ordinateur pour automatiquement détecter et verrouiller les processus suspects – même avant qu’un virus ait été officiellement identifié. Cette protection proactive sera vitale pour combattre les cyber-criminels- particulièrement contre ceux qui utilisent des malwares qui se dissimulent eux-mêmes.

10. Les ordinateurs avec d’anciennes versions de Windows vont devenir de plus en plus dangereux

Le support officiel pour Windows XP et Vista de Microsoft s’est arrêté il y a plusieurs années- mais beaucoup de personnes s’en servent toujours. Microsoft ne sort plus de mises à jour ou des correctifs de sécurité pour ces systèmes- rendant chaque PC utilisant encore ces versions beaucoup plus exposés aux hackers. Comme la base utilisateur reste très importante dans le monde entier, les hackers vont continuer à les cibler.

Protégez-vous dès maintenant

Bien que ces éléments soient inquiétants, la bonne nouvelle est que la majorité de ces menaces peuvent être prévenues en installant un produit antimalware proactif et solide sur votre ordinateur personnel et sur vos appareils mobiles.

Pourquoi vous n’avez (probablement) pas envie d’un routeur 5G

Le CES n’est pas encore terminé et D-Link a déjà annoncé un nouveau routeur 5G. Mais si la 5G peut paraitre super, vous n’en avez sans doute pas encore dans votre zone pour l’instant. N’envisagez donc pas de vous jeter dès à présent sur ce routeur.

Un modem et un routeur 5G

Le 5G NR Enhanced Gateway (c’est bien son nom) de D-Link est un modem cellulaire qui peut fournir du Wifi. Ce n’est pas un routeur Wifi standard. Il faut le voir comme un hotspot mobile plus puissant mais qui n’est pas mobile. Vous le reliez à un fournisseur d’accès (comme Verizon ou AT&T s’ils le permettent) et il diffuse alors Internet à travers votre maison.

Vous ne pouvez l’utiliser que si l’Internet en 5G est disponible dans votre région.

Le nom pour les protocoles cellulaires et le Wifi sont similaires et amènent à des confusions. La Wifi Alliance essaie de résoudre cela en mettant en place un schéma de noms simplifiés, mais si cela peut vous aider à savoir quel protocole Wifi est le meilleur, cela n’aidera à maintenir une vraie différence entre le Wifi 5 et la 5G.

Ce n’est pas un simple routeur Wifi 5 GHz

Avec un nom si proche, il est facile de se tromper. La 5G est un service cellulaire comme votre smartphone en utilise. Et le 5 GHz fait référence au spectre sans filtre que votre routeur Wifi peut utiliser. Vous ne pouvez pas prendre votre routeur Wifi déjà existant et le connecter à un service cellulaire 5G. Et vous ne pouvez pas prendre cet appareil et le connecter à votre fournisseur d’internet du domicile pour amener du Wifi dans toute la maison. Vous avez besoin du service 5G dans votre région pour tirer bénéfice de cet appareil.

La 5G n’est probablement pas encore disponible pour vous

Lorsque le service 5G est disponible, cela peut être vraiment super. La limite théorique est de 10Gbps. Actuellement, la plupart des FOIS et certains fournisseurs du câble atteignent un maximum de 1Gbps. C’est un véritable bond en avant en matière de vitesse. De plus, les opérateurs peuvent potentiellement déployer la 5G dans des zones rurales où il est trop coûteux de se servir de lignes de câbles FIOS ou d’en utiliser de meilleur qualité.

Grâce à l’utilisation de petits appareils cellulaires, il est possible que la 5G devienne omniprésente dans les zones où l’Internet à haut débit était jusqu’ici complètement inconnu. Un jour, mais dans des années.  C’est un point abordé dans le communiqué de presse de D-Link pour la sortie de son routeur :

« Avec un spectre étendu et de nouvelles applications, la 5G amènera plus de compétitivité sur le marché du haut débit dans les années à venir … »

Si vous avez dans l’idée d’acheter un modem 5G aujourd’hui, il y a de fortes chances pour qu’il ne vous serve pas à grand-chose.

Le service 5G sera sans doute servi avec un routeur

Ne vous échinez à chercher ce nouvel appareil car actuellement, il n’est pas sûr que D-Link le vendra directement aux consommateurs. Et même si c’est le cas, cela ne veut pas dire que votre fournisseur d’accès vous permettra de vous en servir. Actuellement, Verizon propose un routeur 5G Samsung pour quiconque bénéficie de ce service. Et puisque c’est un service cellulaire et non pas un simple Wifi, les opérateurs auront le contrôle sur ce que les appareils peuvent connecter.

Un modem 5G comme celui là peut trouver son utilité. Si votre région dispose de la 5G, cela vous permettra de vous y connecter et de diffuser Internet à d’autres appareils qui ne dispose d’aucune radio cellulaire (comme votre ordinateur portable). Ils bénéficieront de la grande vitesse et vous n’aurez pas à ajouter un nouvel ordinateur ou un modem additionnel.

L’achat d’un tel appareil peut aussi être bénéfique au vu des possibilités de maillage promises. Mais si vous disposez déjà d’un maillage, ou si vous ne voulez pas acheté les appareils maillés de D-Link, cet appareil ne vous servira pas car actuellement des appareils maillés de fabricants différents ne communiquent pas entre eux. La Wifi Alliance a sorti un standard de maillage dans ce sens mais la plupart des fabricants de routeurs ne l’ont pas encore implanté et D-Link n’a fait aucune promesse en ce sens.

Les nouvelles technologies sont souvent excitantes. Et la promesse de grandes vitesses, particulièrement dans les zones rurales, retient l’attention du public. Mais comme presque toutes les nouvelles technologies, il vaut mieux rester en retrait et observer la mise en service concrète de ces nouveaux matériels.

Comment la simple visite d’un site dans Safari peut avoir compromis votre macOS d’Apple

Plus tôt cette semaine, une équipe de chez Dropbox a révélé des détails sur trois vulnérabilités critiques touchant le système d’exploitation macOS d’Apple, qui ensemble pourraient permettre à un attaquant à distance d’exécuter du code malveillant sur un ordinateur Mac ciblé, simplement en convaincant la victime d’aller faire un tour sur une page web compromise.

Ces vulnérabilités ont été d’abord découvertes par Syndis, une entreprise de cyber sécurité engagée par Dropbox pour conduire des attaques simulées pour tester le niveau de pénétration de l’infrastructure informatique de l’entreprise, et notamment sur le logiciel Apple utilisé par Dropbox.

Les vulnérabilités ont été découvertes et transmises à l’équipe de sécurité d’Apple en février de cette année, et ont été alors patchées par Apple juste un mois après avec la sortie de ses mises à jour de sécurité du mois de mars. Dropbox a félicité Apple pour sa réponse rapide face à son rapport de bug.

Selon Dropbox, les vulnérabilités découvertes par Syndis n’affectaient pas que la flotte sous macOS, mais aussi tous les utilisateurs de Safari usant de la dernière version du navigateur et du système d’exploitation en même temps.

Voici la liste des trois vulnérabilités rapportées (à zéro jour à ce moment là) :

1. La première faille (CVE-2017-13890) qui résidait dans le composant CoreTypes de macOS autorisait le navigateur web Safari à automatiquement télécharger et installer une image disque sur le système du visiteur via une page malveillante emballée.
2. La deuxième faille (CVE-2018-4176) résidait dans la manière dont les Images Disque géraient les fichiers .bundle, des applications conditionnées comme des répertoires. L’exploitation de cette faille aurait pu permettre à un attaquant de lancer une application malveillante depuis un disque installé en utilisant une utilitaire de volume démarrable appelé bless et son ouverture de dossier.
3. La troisième vulnérabilité (CVE-2018-4175) impliquait un court-circuitage de l’antimalware Gatekeeper de macOS, permettant à des applications malveillantes dissimulées de passer outre
l’application de la signature de code et exécuter une version modifiée de l’application Terminal permettant l’exécution de commandes arbitraires.

Comme on peut le voir dans la vidéo de la preuve-de-concept, les chercheurs ont été capable de créer une attaque en deux étapes en reliant ensemble les trois vulnérabilités pour prendre le contrôle d’un ordinateur Mac juste en arrivant à convaincre à la victime de visiter une page web malveillante depuis Safari.

« La première étape inclut une version modifiée de l’application Terminal, qui est enregistré en tant que gestionnaire pour une nouvelle extension de fichier (.workingpoc). En outre, il contiendra un dossier vide appelé « test.bundle » qui sera défini comme « dossier ouvert » par défaut et qui ouvrira automatiquement /Applications/Terminal.app sans invite « , précise Dropbox dans un post de blog.

« La deuxième étape inclut un shellscript non signé portant l’extension « .workingpoc », qui est ensuite exécuté dans l’application Terminal en cours d’exécution sans invite. « 

Le 29 mars, Apple a sorti des mises à jour de sécurité, dont les correctifs de ces trois vulnérabilités. Vous avez donc simplement à vous assurer d’installer régulièrement les mises à jour mensuelles pour être sûrs de vous protéger de ce genre de menaces.