Les pirates utilisent un bogue pour échapper aux défenses macOS

Les pirates utilisent un bogue pour échapper aux défenses MacOS

Clavier MacOS. Crédit: Unsplash.com

Reconnu pendant des années comme le système capable de prévenir au mieux les infections par des logiciels malveillants, macOS a récemment été victime d’une vulnérabilité du système d’exploitation que les pirates informatiques utilisaient pour contourner toutes les défenses système d’Apple.

Le chercheur en sécurité Cedric Owens a découvert ce bogue en mars 2021 lors de l’évaluation du mécanisme Gatekeeper d’Apple, une sauvegarde qui ne permettra aux développeurs d’exécuter leur logiciel sur Mac qu’après s’être enregistré auprès d’Apple et payer des frais. De plus, la société exige que toutes les applications soient soumises à un processus de vérification automatisé afin de mieux se protéger contre les logiciels malveillants.

Malheureusement, Owens a découvert une faille logique dans le macOS lui-même, plutôt que dans les systèmes de défense. Le bogue permettait aux attaquants de développer des logiciels malveillants capables de tromper le système d’exploitation pour qu’il exécute leurs logiciels malveillants, qu’ils aient réussi ou non les contrôles de sécurité d’Apple. En effet, ce défaut ressemble à une porte qui a été solidement verrouillée et verrouillée mais qui possède toujours une petite chatière en bas à travers laquelle vous pouvez entrer par effraction ou insérer une bombe.

Owens a découvert que le bogue fonctionnait en exploitant l’hypothèse d’Apple concernant toutes les applications qui incluraient un fichier de métadonnées standard appelé «info.plist». Il s’est vite rendu compte qu’il pouvait facilement créer des logiciels malveillants fonctionnant sous la forme d’un simple script, évitant ainsi les multiples couches qui déclenchent le Gatekeeper d’Apple et permettant aux logiciels malveillants de voler sous le radar. En fait, il a découvert que ce mauvais code pouvait fonctionner si furtivement que macOS ne demandait même pas à l’utilisateur l’autorisation de télécharger l’application à partir d’Internet.

Une analyse plus approfondie a montré que macOS exécute une vérification pour voir si la nouvelle application est notariée. Cependant, si le système constate que le bundle de logiciels n’inclut pas de fichier « info.plist », le logiciel passe le point de contrôle. Une fois que les chercheurs ont confirmé le bogue avec Apple, ils ont appris que la société de gestion de périphériques Jamf, axée sur Apple, avait en fait détecté des logiciels malveillants basés sur des scripts qui correspondent aux critères de cette menace, découvrant rapidement qu’une version du logiciel publicitaire Shlayer avait déjà activement détecté exploité la vulnérabilité.

Avec l’introduction de Gatekeeper en février 2020, les cybercriminels ont été confrontés à un obstacle important en raison de la diminution massive du nombre d’utilisateurs à risque, grâce aux défenses améliorées d’Apple. Cependant, des groupes comme les attaquants qui ont développé Shlayer ont eu de la chance pour inciter Apple à authentifier leur malware. En utilisant cette méthode, les pirates n’ont même pas à se soucier de la notification par macOS aux utilisateurs d’une nouvelle application.

En réponse, Apple a corrigé le bogue dans la version macOS Big Sur 11.3. En outre, la société a mis à niveau son outil de surveillance du système XProtect pour identifier et informer les utilisateurs de tout logiciel tentant potentiellement d’exploiter cette faille.


Une erreur Apple approuve les logiciels malveillants MacOS


Plus d’information:
Contournement de macOS Gatekeeper (édition 2021): cedowens.medium.com/macos-gate… edition-5256a2955508

À propos des correctifs de sécurité de macOS Big Sur 11.3: support.apple.com/en-us/HT212325

© Réseau Science X 2021

Citation: Les pirates utilisent un bogue pour échapper aux défenses macOS (2021, 27 avril) récupéré le 27 avril 2021 sur https://techxplore.com/news/2021-04-hackers-bug-evade-macos-defenses.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.