Mac OS X : une faille critique et un troyen pour l'exploiter

apple logoUne faille très sérieuse a été trouvé par un lecteur du forum de MacShadows. Cette faille touche le composant ARD (Apple Remote Desktop pour la prise de contrôle à distance) et se trouve exploitable grâce au langage de script d'Apple Applescript. Par un script appelant l'application ARDagent.app, on peut avoir un accès au système en tant que root.

Pour les utilisateurs de Mac il suffit de taper la ligne suivante dans l'éditeur de script :
  • tell application "ARDAgent" to do shell script "whoami"
Sous Mac OS 10.4.x et 10.5.x, touchés par cette faille, le script vous répondra root, ce qui signifie donc l'accès total à la machine.

Il aura suffit de très peu de temps pour qu'on trouve sur les réseaux de P2P un fichier malveillant sous deux formes : ASthtv05 (60 Ko) ou AStht_v06 (3.1 Mo). Ce troyen se copie alors dans le dossier /Library/Caches/ et se lance discrètement au démarrage et peut ensuite :
  • Enregistrer les entrées claviers
  • Activer le partage de fichiers
  • Capturer l'écran
  • Prendre des photos par la webcam
  • Créer un utilisateur administrateur invisible et envoyer toutes les informations nécessaires pour se connecter à la machine avec le compte créé
  • Désactiver certains logs système
  • Ouvrir des ports sur le pare-feu
Comment s'en prémunir ? D'abord, ne pas lancer n'importe quoi venant de n'importe où...

Il y a ensuite plusieurs solutions :
  • La plus simple : activer le service « Gestion à distance » du panneau « Partage » des préférences de votre Mac en vérifiant bien que tout est décoché dans le panneau Options
  • Supprimer les droits root d'ARD : il faut taper la commande suivante dans le terminal : sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
  • Utiliser la faille pour qu'elle se ferme elle-même. Il suffit de taper dans l'éditeur de script : tell application "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"

N'hésitez pas vérifier que la faille est bien inaccessible en exécutant le script :
  • tell application "ARDAgent" to do shell script "whoami"
qui doit maintenant vous renvoyer un message d'erreur.

Attention, pour les deux dernières solutions, une réparation des autorisations de votre système redonnera à ARD tous ses droits. Il faudra donc dans ce cas refaire la manipulation.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !