Comment la simple visite d’un site dans Safari peut avoir compromis votre macOS d’Apple

Plus tôt cette semaine, une équipe de chez Dropbox a révélé des détails sur trois vulnérabilités critiques touchant le système d’exploitation macOS d’Apple, qui ensemble pourraient permettre à un attaquant à distance d’exécuter du code malveillant sur un ordinateur Mac ciblé, simplement en convaincant la victime d’aller faire un tour sur une page web compromise.

Ces vulnérabilités ont été d’abord découvertes par Syndis, une entreprise de cyber sécurité engagée par Dropbox pour conduire des attaques simulées pour tester le niveau de pénétration de l’infrastructure informatique de l’entreprise, et notamment sur le logiciel Apple utilisé par Dropbox.

Les vulnérabilités ont été découvertes et transmises à l’équipe de sécurité d’Apple en février de cette année, et ont été alors patchées par Apple juste un mois après avec la sortie de ses mises à jour de sécurité du mois de mars. Dropbox a félicité Apple pour sa réponse rapide face à son rapport de bug.

Selon Dropbox, les vulnérabilités découvertes par Syndis n’affectaient pas que la flotte sous macOS, mais aussi tous les utilisateurs de Safari usant de la dernière version du navigateur et du système d’exploitation en même temps.

Voici la liste des trois vulnérabilités rapportées (à zéro jour à ce moment là) :

1. La première faille (CVE-2017-13890) qui résidait dans le composant CoreTypes de macOS autorisait le navigateur web Safari à automatiquement télécharger et installer une image disque sur le système du visiteur via une page malveillante emballée.
2. La deuxième faille (CVE-2018-4176) résidait dans la manière dont les Images Disque géraient les fichiers .bundle, des applications conditionnées comme des répertoires. L’exploitation de cette faille aurait pu permettre à un attaquant de lancer une application malveillante depuis un disque installé en utilisant une utilitaire de volume démarrable appelé bless et son ouverture de dossier.
3. La troisième vulnérabilité (CVE-2018-4175) impliquait un court-circuitage de l’antimalware Gatekeeper de macOS, permettant à des applications malveillantes dissimulées de passer outre
l’application de la signature de code et exécuter une version modifiée de l’application Terminal permettant l’exécution de commandes arbitraires.

Comme on peut le voir dans la vidéo de la preuve-de-concept, les chercheurs ont été capable de créer une attaque en deux étapes en reliant ensemble les trois vulnérabilités pour prendre le contrôle d’un ordinateur Mac juste en arrivant à convaincre à la victime de visiter une page web malveillante depuis Safari.

« La première étape inclut une version modifiée de l’application Terminal, qui est enregistré en tant que gestionnaire pour une nouvelle extension de fichier (.workingpoc). En outre, il contiendra un dossier vide appelé « test.bundle » qui sera défini comme « dossier ouvert » par défaut et qui ouvrira automatiquement /Applications/Terminal.app sans invite « , précise Dropbox dans un post de blog.

« La deuxième étape inclut un shellscript non signé portant l’extension « .workingpoc », qui est ensuite exécuté dans l’application Terminal en cours d’exécution sans invite. « 

Le 29 mars, Apple a sorti des mises à jour de sécurité, dont les correctifs de ces trois vulnérabilités. Vous avez donc simplement à vous assurer d’installer régulièrement les mises à jour mensuelles pour être sûrs de vous protéger de ce genre de menaces.