par 
Microsoft affirme qu’une vulnérabilité qu’il a découverte dans une fonctionnalité de sécurité principale de macOS, Gatekeeper, aurait pu permettre aux attaquants de compromettre les Mac vulnérables avec des logiciels malveillants.
La faille, identifiée comme CVE-2022-42821, a été découverte pour la première fois par le chercheur principal en sécurité de Microsoft, Jonathan Bar Or, et surnommée la vulnérabilité “Achille”. Bar Or a déclaré que le bogue pourrait permettre aux logiciels malveillants de contourner les protections de Gatekeeper sur macOS.
Introduit pour la première fois en 2012, Gatekeeper est une fonctionnalité de sécurité conçue pour autoriser uniquement les logiciels de confiance à s’exécuter sur macOS. La fonctionnalité vérifie automatiquement que toutes les applications téléchargées sur Internet proviennent de développeurs identifiés qui ont été « notariés » par Apple et dont les applications sont connues pour être exemptes de contenu malveillant.
Microsoft’s Bar Or a expliqué dans un article de blog que macOS ajoute un attribut de “quarantaine” aux applications et aux fichiers qui ont été téléchargés à partir d’un navigateur Web et demande à Gatekeeper de vérifier le fichier avant de pouvoir l’ouvrir. Mais la vulnérabilité Achilles exploite un modèle d’autorisations de fichiers appelé listes de contrôle d’accès (ACL) pour ajouter des autorisations extrêmement restrictives à un fichier téléchargé, ce qui empêche les navigateurs Web de définir correctement l’attribut de quarantaine.
En exploitant le bogue, un utilisateur pourrait être amené à télécharger et à ouvrir un fichier malveillant sur macOS sans déclencher les protections de sécurité de Gatekeeper.
Microsoft a signalé la faille d’Achille en juillet, mais Apple n’a reconnu que la vulnérabilité avait été corrigée que la semaine dernière.
Bar Or a déclaré que le mode Lockdown, une fonctionnalité Apple opt-in introduite plus tôt cette année pour aider les utilisateurs à haut risque à bloquer certaines des cyberattaques les plus sophistiquées, ne se défendrait pas contre la vulnérabilité d’Achille, car le mode Lockdown vise à arrêter silencieux et déclenché à distance attaques « zéro clic » qui ne nécessitent aucune interaction de l’utilisateur. “Les utilisateurs finaux doivent appliquer le correctif quel que soit leur statut en mode de verrouillage”, a déclaré Bar Or.
Achille n’est qu’un des nombreux contournements de Gatekeeper qui ont été découverts ces dernières années. En avril 2021, Apple a corrigé une vulnérabilité zero-day dans macOS qui permettait aux acteurs de la menace à l’origine du célèbre malware Shlayer de contourner les contrôles de sécurité Gatekeeper et notarisation d’Apple.
