object.title
[Actualité #Cybersécurité] Faille de sécurité macOS

Utilisateurs de MAC OS X (Mojave inclus), votre GateKeeper peut laisser s’exécuter une application localisée sur un disque externe ou un partage réseau sans la contrôler ! Et il n’y a pas encore de solution. Comment est-ce possible ? Car GateKeeper considère les disques externes et les partages NFS comme des emplacements sécurisés.

Le principe de ce contournement repose sur 2 fonctionnalités tout à fait légitimes :

  • Les archives zip peuvent contenir des liens symboliques (ou symlink) pointant vers un emplacement arbitraire (y compris des points de montage automatiques) que le logiciel de décompression ne vérifie pas.
  • La fonctionnalité d’automount (ou autofs) autorise un utilisateur à monter un partage réseau de manière automatique dont l’URL commence par /net/.

Ce contournement peut donc se faire via une archive zip (livrée sur clé USB ou envoyée par mail) contenant un lien symbolique vers une application contrôlée par l’attaquant.

  • La future victime n'a plus qu'à ouvrir le fichier zip et lancer le lien symbolique,
  • A la décompression, le symlink n'est pas vérifié et le GateKeeper considère l'emplacement de destination comme sûr,
  • Une fois la destination sous contrôle atteinte, l'attaquant peut agir en toute discrétion.

Le fait que Finder n’affiche pas le chemin complet du lien symbolique et cache les extensions rend cette technique très efficace et difficile à repérer.

A ce jour, Apple est conscient de ce contournement et aucune solution n’est encore livrée.

Cette vulnérabilité attire donc une nouvelle fois notre attention sur le niveau de sécurité périmétrique de nos points d’extrémité. Les actions à l’insertion de périphériques doivent-elles être plus restrictives ? Une sorte de sandbox interne au système peut-elle permettre une meilleure prévention ? Les questions restent ouvertes.

A lire sur le sujet, cet article Generation-NT.com : https://www.generation-nt.com/macos-faille-securite-gatekeeper-actualite-1965327.html