Une faille vieille de cinq mois sous OS X est désormais plus simple à exploiter. Présente dans toutes les versions de Lion et Mountain Lion, elle pourrait être utilisée en complément d'autres méthodes d'attaques pour aboutir à des vols d'informations ou à l'installation de rootkits.
Le faux antivirus Mac Defender, qui avait fait de nombreuses victimes
Une faille datant de mars dernier
La plateforme OS X est soumise comme toutes les autres à des problèmes de sécurité. Si les pirates s’y intéressent moins à cause de « débouchés » bien plus nombreux sous Windows, ils réussissent parfois quelques tours de force, notamment à cause d’une absence de méfiance côté utilisateur. Ainsi, une faille non-corrigée depuis plusieurs mois est désormais exploitable plus facilement et pourrait être mariée à d’autres méthodes d’attaque pour maximiser les dégâts.
On trouve donc à la base une « vieille » faille puisque datant de mars dernier. Elle réside dans un composant Unix bien connu notamment des utilisateurs d’Ubuntu et d’autres distributions Linux : sudo. Cet outil sert à accorder temporairement des droits « super utilisateur » à l’utilisateur en cours s’il donne le bon mot de passe. À partir de là, il est possible par exemple d’aller consulter les fichiers d’un autre compte utilisateur, ce qui est impossible avec un compte classique. Le fonctionnement est d’ailleurs identique sous OS X.
Valable sur Lion et Mountain Lion
Cette faille, relativement délicate à exploiter, n’a pas été corrigée par Apple au cours des cinq derniers mois. Seulement voilà, elle est maintenant moins complexe à utiliser du fait de nouvelles découvertes à son sujet. Les développeurs du kit Metasploit ont ainsi ajouté un nouveau module permettant d’exploiter la faille plus facilement. Pour rappel, Metasploit est un kit open source qui permet une utilisation plus simplifiée des failles et qui se destine à tous types de développeurs. Il est édité par la société de sécurité Rapid7.
La faille elle-même peut à la base être exploitée en réglant la date du Mac au 1er janvier 1970. Si cette date est modifiée après avoir utilisée la commande « sudo », la machine peut être amenée à offrir des privilèges supplémentaires sans même réclamer un mot de passe. Et non seulement la faille est plus simple à utiliser, mais elle est disponible sur l’ensemble des versions 10.7 et 10.8 d’OS X, autrement dit Lion et Mountain Lion. On ne sait pas si la mise à jour 10.8.5, a priori imminente, corrige le problème, ni si Mavericks, actuellement en travaux, est concerné.
Pour autant, plusieurs conditions sont nécessaires pour qu’un attaquant réussisse son coup :
- L’utilisateur qui est connecté à la session doit déjà lui-même posséder des droits administrateurs
- La commande « sudo » doit avoir été utilisée au moins une fois dans le passé
- L’attaquant doit posséder un accès physique ou à distance
La faille en elle-même ne peut donc pas être exploitée à travers la méthode qui produit les plus gros dégâts : une page web. Il n’est donc pas question d’une exploitation à très grande échelle. Cependant, les utilisateurs devront tout de même faire attention.
Utilisable en conjonction d'autres vecteurs d'attaques
HD Moore, fondateur du kit Metasploit et directeur de la recherche chez Rapid7, indique ainsi que le bug est « significatif » car il permet à n’importe quel compte compromis d’obtenir des privilèges. Les conséquences peuvent alors devenir sérieuses puisque le système « exposera des choses comme les mots de passe en clair depuis le Trousseau et rend possible pour l’attaquant d’installer un rootkit permanent ». Il indique cependant ne pas être surpris par l’absence de correction d’Apple, la firme ayant selon lui un long historique de lenteur sur la sécurité des composants open source qu’elle intègre.
Globalement, il y a assez peu de chances pour que la faille soit exploitée uniquement pour elle-même, à cause justement des conditions à mettre en place. Toutefois, elle pourrait être utilisée en conjonction d’autres menaces, notamment l’ingénierie sociale comme ce fut le cas pour le faux antivirus Mac Defender. Pour rappel, ce malware se présentait sous la forme d’un logiciel de sécurité qui attirait l’utilisateur jusqu’à une formule d’abonnement après l’avoir copieusement averti de menaces dangereuses sur sa machine. Plutôt que de l’argent, ou en complément, ce type d’application néfaste pourrait en profiter pour utiliser d’autres failles et installer un rootkit.
Commentaires (90)
#1
HD Moore, fondateur du kit Metasploit et directeur de la recherche chez Rapid7, indique ainsi que le bug est « significatif » car il permet à n’importe quel compte compromis d’obtenir des privilèges.
Ben non puisqu’il est dit quelques lignes plus haut que le compte doit lui-même avoir des droits administrateurs. Donc a priori par les comptes utilisateurs, c’est mort.
#2
On parle ici d’un local root, et même d’un admin2root. Malheureusement beaucoup de personnes sous OSX utilisent des sessions admin, alors qu’il est tout a fait possible d’être simple utilisateur, le système est conçu pour demander les privilèges admins quand il en a besoin.
Par contre, je ne dirais pas que l’exploitation de la faille est simplifié par le module Metasploit de 200 lignes de Ruby, alors qu’il suffit de taper ces 3 commandes :
\( sudo -k
\) /usr/sbin/systemsetup -setusingnetworktime Off -settimezone GMT -setdate 01:01:1970 -settime 00:00
$ sudo -s
En étant admin, pour avoir un shell root, sans avoir à entrer le mot de passe de l’utilisateur.
C’est critique dans le sens ou n’importe quel malware (qui rentre par une faille Web dans un navigateur, par exemple) dans une session admin, peut tenter d’utiliser cette méthode pour passer root et s’installer au niveau du système, sans avoir à connaitre le mot de passe de l’administrateur.
Metasploit a juste mis en avant la vulnérabilité, mais l’adviso original parlait déjà de Mac OS X comme étant impacté :http://www.openwall.com/lists/oss-security/2013/02/27/22
#3
Par contre, même un “novice” qui aurait un compte admin et n’a jamais fait de “sudo” (très proprable) ne risque pas grand chose si j’ai bien compris l’article
#4
#5
#6
10.6.8
" />
#7
#8
Si je comprend bien, c’est une faille non corrigée depuis 5 mois ou alors c’est juste valable sur les machines pas à jour? Dans le premier cas, honte sur Apple car laisser une vulnérabilité aussi critique trainer aussi longtemps c’est scandaleux, dans le second cas, honte sur les utilisateurs qui ne mettent pas leurs systèmes à jour.
#9
#10
#11
#12
#13
Merci pour vos réponses
" />
" />
J’hésite à acheter un macbook d’occasion pour tester un peu tout ça
#14
#15
#16
#17
#18
La faille elle-même peut à la base être exploitée en réglant la date du Mac au 1er janvier 1970. Si cette date est modifiée après avoir utilisée la commande « sudo », la machine peut être amenée à offrir des privilèges supplémentaires sans même réclamer un mot de passe
Sauf que modifier la date ou l’horloge requiert un mot de passe
Les possibilités sont quand même grandement limitées..à moins de le faire volontairement..
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
#29
#30
Pour autant, plusieurs conditions sont nécessaires pour qu’un attaquant réussisse son coup :
Je crois que c’est déjà pas courant.
La commande « sudo » doit avoir été utilisée au moins une fois dans le passé
Je connais un seul utilisateur de OSX, et je serais bien étonné qu’il connaisse cette commande.
L’attaquant doit posséder un accès physique ou à distance
Donc en résumé l’attaquant doit posséder un accès.
Et donc la faille a tout de suite l’air moins facile à exploiter.
#31
Pour autant, plusieurs conditions sont nécessaires pour qu’un attaquant réussisse son coup :
Je ne comprends pas, là….
Ca ne marche pas comme sous un linux, OSX ?
Ca veut dire quoi des droits administrateurs sous OSX ? Concrètement ca veut dire pouvoir avoir les droits du root ?
Si tu peux déjà avoir les droits du root, concretèment ca veut dire que tu peux déjà faire tout ce que te permets le sudo, non ?
Elle est où la faille dans ce raisonnement ?
PS : par contre si apple conniassait une compromission du sudo depuis 5 mois et n’a rien fait (sous reserve que ca ait les mêmes implications que sous un linux), honnêtement c’est pas très sérieux.
#32
#33
#34
#35
#36
#37
#38
#39
#40
16 aussi sous 10.8
#41
#42
#43
Si les pirates s’y intéressent moins à cause de « débouchés » bien plus nombreux sous Windows
Un peu dommage cet amalgamme… Sudo est une commande unix. Considérer qu’une faille Unix est moins intéressante qu’une faille windows revient à dire qu’il y a plus de débouché à attaquer des end-users que des systèmes de défense, des périphériques embarqués, des box, des serveurs réseaux, web mails, des SI d’avion de ligne, des terminaux de différentes nature y compris bancaire…
En revanche, je veux bien croire que c’est plus simple de se payer la tête de Mme Michu !
#44
#45
#46
#47
#48
#49
#50
#51
#52
On peut corriger la faille en ajoutant “Defaults timestamp_timeout=0” au fichier de config de sudo pour forcer sudo à demander à re-rentrer le mot de passe à chaque fois.
Je me demande d’ailleur si cette faille affecte aussi les utilisateurs de Linux et de BSD.
#53
#54
#55
#56
#57
#58
Concernant la news, je serais intéressé de savoir si la faille touche les utilisateurs de FreeBSD d’une part, et en complément pourquoi cette faille ne concernent que Lion et ML et pas l’OS précédent
(qui, les macusers aguerris le savent très bien, représente avec la généralisation du 64bits, OpenCL et GCD le dernier en date vraiment majeur*, les 2 suivants - surtout le suivant - étant presque totalement inutiles en apports techniques en attendant Mavericks 10.9 ;).
*c’est un peu comme Adobe PS, certaines ne servent à rien et peuvent être zappées, ça fait pas longtemps que c’est le cas mais ça l’est depuis Lion 10.7, le Vista d’Apple…
" />
Sinon une remarque qui a déjà due être dite : même pour un power user total de la mort de sa race, il y a peu de cas qui imposent le passage par sudo dans le terminal, puisque l’annuaire du dossier utilitaires permet par ex. de passer root par une GUI user friendly que le maceux risque de préférer, et que les autres actions qui pourraient le requérir sont pour les plus demandées possibles par des softs tiers (toujours avec GUI, toujours préféré par les maceux).
En outre, le système répond à un soft demandant des droits root par une API système déjà présente par défaut, et non sudo
( ex : un soft demandant d’installer un daemon ou de se charger avant certaines routines de démarrage).
On peut donc conclure que globalement, sur la totalité du parc OSX grand public, peu y sont obligés, et donc que si comme la news le dit il faut que sudo ait été utilisé une première fois, rien que ça garantit à beaucoup d’être épargés
Alors effectivement, reste que sudo reste parfois plus rapide pour une action similaire. Par exemple pour éditer le fichier hosts, probablement celle que j’ai perso faite le plus souvent.
Ceci n’enlevant pas l’obligation à Apple de se grouiller de corriger, bien évidemment.
#59
#60
#61
#62
#63
#64
#65
#66
#67
non non ça affiche bien root et #
#68
#69
#70
#71
#72
#73
#74
#75
#76
Ce genre de “bug” me laisse perplexe … En revanche, ce que j’apprécie moins c’est le temps qui s’est écoulé avant qu’ APPLE ne bouge…
" />
#77
#78
#79
#80
#81
#82
#83
l’exceptionnel sécurité made in apple
lol quoi
On pointe du doigt microsoft mais la pomme a quand meme pas mal de faille non sécurisé
#84
#85
#86
#87
#88
#89
Bug ou demande de la NSA dans le cadre de PRISM ?
#90