OS X : une faille vieille de cinq mois permet de détourner la commande sudo

Une longue sieste

Une faille vieille de cinq mois sous OS X est désormais plus simple à exploiter. Présente dans toutes les versions de Lion et Mountain Lion, elle pourrait être utilisée en complément d'autres méthodes d'attaques pour aboutir à des vols d'informations ou à l'installation de rootkits.

Le faux antivirus Mac Defender, qui avait fait de nombreuses victimes

Une faille datant de mars dernier

La plateforme OS X est soumise comme toutes les autres à des problèmes de sécurité. Si les pirates s’y intéressent moins à cause de « débouchés » bien plus nombreux sous Windows, ils réussissent parfois quelques tours de force, notamment à cause d’une absence de méfiance côté utilisateur. Ainsi, une faille non-corrigée depuis plusieurs mois est désormais exploitable plus facilement et pourrait être mariée à d’autres méthodes d’attaque pour maximiser les dégâts.

 

On trouve donc à la base une « vieille » faille puisque datant de mars dernier. Elle réside dans un composant Unix bien connu notamment des utilisateurs d’Ubuntu et d’autres distributions Linux : sudo. Cet outil sert à accorder temporairement des droits « super utilisateur » à l’utilisateur en cours s’il donne le bon mot de passe. À partir de là, il est possible par exemple d’aller consulter les fichiers d’un autre compte utilisateur, ce qui est impossible avec un compte classique. Le fonctionnement est d’ailleurs identique sous OS X.

Valable sur Lion et Mountain Lion 

Cette faille, relativement délicate à exploiter, n’a pas été corrigée par Apple au cours des cinq derniers mois. Seulement voilà, elle est maintenant moins complexe à utiliser du fait de nouvelles découvertes à son sujet. Les développeurs du kit Metasploit ont ainsi ajouté un nouveau module permettant d’exploiter la faille plus facilement. Pour rappel, Metasploit est un kit open source qui permet une utilisation plus simplifiée des failles et qui se destine à tous types de développeurs. Il est édité par la société de sécurité Rapid7.

 

La faille elle-même peut à la base être exploitée en réglant la date du Mac au 1er janvier 1970. Si cette date est modifiée après avoir utilisée la commande « sudo », la machine peut être amenée à offrir des privilèges supplémentaires sans même réclamer un mot de passe. Et non seulement la faille est plus simple à utiliser, mais elle est disponible sur l’ensemble des versions 10.7 et 10.8 d’OS X, autrement dit Lion et Mountain Lion. On ne sait pas si la mise à jour 10.8.5, a priori imminente, corrige le problème, ni si Mavericks, actuellement en travaux, est concerné.

 

Pour autant, plusieurs conditions sont nécessaires pour qu’un attaquant réussisse son coup :

  • L’utilisateur qui est connecté à la session doit déjà lui-même posséder des droits administrateurs
  • La commande « sudo » doit avoir été utilisée au moins une fois dans le passé
  • L’attaquant doit posséder un accès physique ou à distance

La faille en elle-même ne peut donc pas être exploitée à travers la méthode qui produit les plus gros dégâts : une page web. Il n’est donc pas question d’une exploitation à très grande échelle. Cependant, les utilisateurs devront tout de même faire attention.

Utilisable en conjonction d'autres vecteurs d'attaques 

HD Moore, fondateur du kit Metasploit et directeur de la recherche chez Rapid7, indique ainsi que le bug est « significatif » car il permet à n’importe quel compte compromis d’obtenir des privilèges. Les conséquences peuvent alors devenir sérieuses puisque le système « exposera des choses comme les mots de passe en clair depuis le Trousseau et rend possible pour l’attaquant d’installer un rootkit permanent ». Il indique cependant ne pas être surpris par l’absence de correction d’Apple, la firme ayant selon lui un long historique de lenteur sur la sécurité des composants open source qu’elle intègre.

 

Globalement, il y a assez peu de chances pour que la faille soit exploitée uniquement pour elle-même, à cause justement des conditions à mettre en place. Toutefois, elle pourrait être utilisée en conjonction d’autres menaces, notamment l’ingénierie sociale comme ce fut le cas pour le faux antivirus Mac Defender. Pour rappel, ce malware se présentait sous la forme d’un logiciel de sécurité qui attirait l’utilisateur jusqu’à une formule d’abonnement après l’avoir copieusement averti de menaces dangereuses sur sa machine. Plutôt que de l’argent, ou en complément, ce type d’application néfaste pourrait en profiter pour utiliser d’autres failles et installer un rootkit.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !