Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Les Mac touchés par une faille 0-day provoquant une escalade des privilèges

On ne peut même plus déjeuner en paix
Logiciel 4 min
Les Mac touchés par une faille 0-day provoquant une escalade des privilèges
Crédits : billyfoto/iStock

Il y a environ un mois, un chercheur en sécurité avait prévenu qu’une faille dans OS X pouvait provoquer une escalade des privilèges si l’on disposait d’un accès à la machine. À peine quelques semaines plus tard, la société Malwarebytes indique avoir repéré une exploitation de cette faille.

Le chercheur en sécurité Stefan Esser avait prévenu il y a un peu moins d’un mois que la dernière mouture d’OS X, Yosemite, était vulnérable à une faille par escalade de privilèges. Exploitée, elle permettrait à un code de s’exécuter avec des privilèges root et donc d’obtenir le maximum des droits, lui permettant alors d’effectuer de nombreuses opérations, comme des modifications et des suppressions de fichiers.

Un code sans garde-fou

Le problème réside dans dyld, le dynamic linker d’OS X. Ce composant, que l’on retrouve sur pratiquement tous les systèmes d’exploitation du monde, permet de charger et de lier les bibliothèques dont un exécutable a besoin pour fonctionner. Sous Windows par exemple, ces bibliothèques sont (en partie) les fameux fichiers DLL. Dans OS X, tout allait bien jusqu’à ce qu’Apple ajoute avec Yosemite de nouvelles fonctionnalités dédiées à la journalisation des erreurs.

Esser indique que le vrai souci vient de la variable d’environnement « DYLD_PRINT_TO_FILE » ajoutée dans dyld. Selon le chercheur, cet ajout n’est accompagné d’aucune des mesures de protection habituellement mises en place quand du code est ajouté dans ce composant. Sans garde-fou, la variable accepte en entrée n’importe quel fichier stocké sur le disque, y compris ceux dont l’accès est normalement restreint, par exemple dans le dossier système.

La brèche avait probablement déjà été repérée

Et malheureusement, il n’aura pas fallu bien longtemps pour qu’une exploitation de cette faille soit repérée. MalwareBytes a en effet indiqué avoir trouvé un installeur capable d’exploiter la brèche afin de déposer silencieusement sur le Mac de l’utilisateur différents logiciels indésirables, notamment VSearch et MacKeeper. Et il n’y a rien de spécial à faire, car la faille permet d’installer ces éléments sans même qu’une action particulière soit requise.

Comme l’explique chez l’éditeur le chercheur Adam Thomas, l’installeur exploite la brèche pour modifier le fichier de configuration sudoers. Il s’agit en temps normal d’un fichier caché faisant partie de l’environnement Unix (auquel OS X emprunte bon nombre de ses bases) et précisant qui peut obtenir des droits de type root sur le système (via la commande sudo justement). Conséquence : la modification du fichier permet à l’installeur d’obtenir ces droits et d’effectuer les opérations prévues sans être inquiété, puisque le mot de passe de la session utilisateur n’est du coup pas réclamé.

Il ne manquerait plus qu'une faille 0-day dans un navigateur pour tout automatiser

Dans l’absolu, il faut évidemment qu’un utilisateur lance une application vérolée pour que l’exploitation de la faille se lance. Ce qui signifie que jusqu’à ce qu’Apple corrige le problème, la prudence va être largement de mise pour ce que l’on télécharge sur le web. Pendant un temps, et si la chose est possible, il est ainsi préférable de se contenter des applications récupérées sur le Mac App Store ou dont la source est clairement officielle et connue.

La situation pourrait cependant se dégrader rapidement. En tant que telle, il est impossible que la faille soit exploitée de manière automatisée, comme dans le cas d’un ver. Il suffirait toutefois, comme le suggère Ars Technica, qu’une autre faille entre en piste pour lier les deux et provoquer une situation explosive. Une brèche dans un navigateur serait idéale pour amener ce dernier à déclencher un téléchargement et l’ouverture d’un fichier binaire, qui n’aurait plus alors qu’à prendre le relai. Un duo de failles de type 0-day aux conséquences assez redoutables, surtout quand on sait que les groupes de pirates et les agences de sécurité disposent de véritables arsenaux de failles non corrigées.

Il va falloir attendre... ou faire confiance au chercheur

Actuellement, Yosemite 10.10.4 est vulnérable, autrement dit la dernière révision en cours d’OS X. Parmi les autres versions en développement, la situation diffère. La mise à jour 10.10.5, actuellement en bêta, est ainsi vulnérable elle aussi, mais The Guardian indique que la version finale contiendra bien le correctif. Le prochain OS X, El Capitan (dont la sixième bêta est sortie hier soir), n’est pour sa part pas sensible à cette exploitation.

Du côté des utilisateurs, il n’y a pas de solution, à part attendre qu’Apple corrige le tir. En attendant, Stefan Esser propose un correctif temporaire, mais il est délicat de recommander un patch non officiel pour corriger un problème aussi sensible.

82 commentaires
Avatar de oldchap INpactien
Avatar de oldchapoldchap- 05/08/15 à 07:07:13

La réputation du mac en tant qu'environnement sécurisé commence à prendre un paquet de coups en ce moment. Quand madame michu apprendra ça...

Avatar de Folgore INpactien
Avatar de FolgoreFolgore- 05/08/15 à 07:12:08

Ah si ca permet d'avoir du vrai root dans "Library/WebServer/Documents" le pire endroit pour du dev local c'est bien ici :plantage:

Avatar de tiret Abonné
Avatar de tirettiret- 05/08/15 à 07:14:21

En même temps comme OSX utilise de vieilles versions des libs OpenSource ça ne m'étonne pas, après je ne suis pas sûr que le composant en question soit justement open source.
 

 Mais c'est clair que la sécurité d'OSX a souvent été à des années lumières de celle d'un Linux correctement utilisé et bien entretenu (càd pas avec l'utilisateur root loggué en permanence... :D et mis à jour quotidiennement ce qui ne prend pas longtemps)

Avatar de digital-jedi Abonné
Avatar de digital-jedidigital-jedi- 05/08/15 à 07:16:11

Je voulais troller les Macs mais je vais m'abstenir :)

Remarque perso :
Est-ce que désactiver la journalisation des erreurs ne permettrait pas d'empêcher la faille ?

Avatar de tiret Abonné
Avatar de tirettiret- 05/08/15 à 07:18:32

On peut faire ça sous Mac ? J'aurais pensé que le truc était non désactivable, l'environnement étant tellement fermé.
 
Si oui ça m'intéresse car j'ai un Mac (même si je préfère de loin mon Linux)

Avatar de Vincent_H Équipe
Avatar de Vincent_HVincent_H- 05/08/15 à 07:19:01

digital-jedi a écrit :

Je voulais troller les Macs mais je vais m'abstenir :)

Oui, merci de t'en abstenir, parce que je sens qu'il y aura pas mal de modération sur cette actualité :D

Avatar de MuadJC INpactien
Avatar de MuadJCMuadJC- 05/08/15 à 07:22:44

Vincent_H a écrit :

Oui, merci de t'en abstenir, parce que je sens qu'il y aura pas mal de modération sur cette actualité :D

Bon, bah, tant pis. Je ne lancerai pas mon hameçon sur le terrain linux...

Avatar de Herbefol Abonné
Avatar de HerbefolHerbefol- 05/08/15 à 07:24:15

N'ayant pas de matos Apple, je me pose la question : est-ce qu'il faut des mises à jour aussi régulières que Microsoft avec ses Windows ? Parce que laisser ses utilisateurs à la merci d'un problème qui est bien identifié et connu de tous, ça fait un peu désordre, je trouve.

Avatar de Zed-K INpactien
Avatar de Zed-KZed-K- 05/08/15 à 07:33:04

Màj régulières, mais parfois une faille béante qui peut rester ouverte pendant des mois.
Du moins c'était le cas il y a quelques années, quand j'ai décidé de retourner sur PC.
 
 
EDIT: De ce que j'en vois par une recherche sur NXi, ça a pas l'air beaucoup plus glorieux maintenant : failles corrigées sur iOS mais pas OSX, failles corrigées sur la dernière version d'OSX... et c'est tout, migrez ou crevez, failles niveau cloud vieilles de 6 mois qui seraient une cause possible du Fappening... Ils ont embauché les experts sécurité de chez Adobe ou bien ? :transpi:

Édité par Zed-K le 05/08/2015 à 07:36
Avatar de Mimigallifrey INpactien
Avatar de MimigallifreyMimigallifrey- 05/08/15 à 07:39:37

Je n'ai pas de connaissances particulières et je vais sans doute dire une bêtise, mais ça semble gros, comme faille, non ? Enfin, au sens de ceux qui ont travaillé sur la tâche au sein du département dev d'Apple auraient dû se rendre compte de ce qu'ils faisaient. :keskidit:
 
Sous Linux, d'illustres inconnus (*ahem*) avaient essayés à plusieurs reprises d'intégrer des failles grossières (genre remplacer un if(user == root) par if(user = root)), qui avaient été repérés très rapidement. De mon point de vue de novice complet (lire "gros noob" :transpi:), ça donne l'impression de relever du même ordre.
 
Après, comme dit, je parle d'un sujet que je ne maîtrise pas, donc ...:ane:

Il n'est plus possible de commenter cette actualité.
Page 1 / 9