Posté le mai 25, 2021 à 14:10
LES HACKERS EXPLOITENT LA FAILLE ZERO-DAY DE MACOS ET CONTOURNENT L’INVITE DE PERMISSION
Apple a récemment corrigé une vulnérabilité zero-day qui permet aux auteurs de menaces d’enregistrer des vidéos ou de faire des captures d’écran de l’utilisateur. Selon les chercheurs en sécurité de Jamf, qui ont été les premiers à découvrir la faille, les hackers ont contourné le consentement à la transparence d’Apple pour mener leur attaque.
L’équipe de sécurité a réaffirmé que la faille peut avoir été déjà exploitée dans le large. Par conséquent, elle laisse les systèmes des utilisateurs concernés ouverts à d’autres attaques.
La vulnérabilité a été découverte alors que Jamf était à la recherche d’une souche de logiciel malveillant pour Mac nommée XCSSET, qui utilise des projets Xcode infectés pour cibler les développeurs macOS.
Selon les chercheurs, la faille pourrait permettre à un acteur de la menace de s’emparer des permissions accordées à d’autres apps. Par exemple, un hacker peut utiliser une application malveillante pour détourner l’application Zoom, qui dispose déjà d’autorisations de recodage. Il peut ensuite l’utiliser pour enregistrer l’écran de l’utilisateur.
Le logiciel malveillant XCSSET a été découvert pour la première fois l’année dernière par Trend Micro, qui l’a vu cibler des développeurs Apple.
Mais l’impact de cette découverte remonte au mois de mars, lorsque des chercheurs de SentinelOne ont découvert une nouvelle bibliothèque de code trojanisé qui installait le logiciel malveillant de surveillance XCSSET sur des Macs de développeurs.
Les logiciels malveillants se greffent sur des applications parentales
Dans une interview, Jaron Bradley, chercheur chez Jamf, a déclaré que certains développeurs conçoivent leurs applications en y installant des applications plus petites. Mais les acteurs de la menace implantent leurs logiciels malveillants de manière à ce qu’ils se greffent sur les applications mères.
Par conséquent, les développeurs distribuent sans le savoir le logiciel malveillant à leurs clients puisque les projets ont déjà été infectés par le logiciel malveillant.
Les chercheurs de Trend Micro ont qualifié le processus du logiciel malveillant d' »attaque de type chaîne d’approvisionnement ». Selon les chercheurs, les acteurs malveillants continuent de proposer régulièrement de nouvelles souches du logiciel malveillant, les variantes les plus récentes ciblant les Macs équipés de la puce M1.
Le logiciel malveillant utilise deux zero day lorsqu’il commence à s’exécuter sur l’ordinateur de la victime : le premier consiste à accéder aux comptes en ligne de la victime en volant les cookies du navigateur Safari. Le second consiste à installer une version de développement de Safari en arrière-plan, ce qui permet aux acteurs de la menace de modifier presque tous les types de sites Web.
D’une manière générale, macOS devrait demander à l’utilisateur une autorisation avant d’autoriser toute application, qu’elle soit malveillante ou non.
Si l’application veut ouvrir le stockage de l’utilisateur, accéder à la webcam ou au microphone, ou enregistrer l’écran, l’utilisateur est invité à donner son autorisation avant l’exécution de l’une de ces actions. Cependant, le logiciel malveillant a contourné la demande d’autorisation en se cachant et en infectant des applications légitimes avec du code malveillant.
Un logiciel malveillant échappe aux défenses de sécurité de MacOs
Selon les chercheurs de Jamf – Stuart Ashenbrenner, Ferdous Saljooki et Jaron Bradley – le logiciel malveillant recherche également d’autres applications sur l’ordinateur de la victime. Ces applications, telles que Slack, WhatApp et Zoom, peuvent également être contournées sans qu’aucune permission ne soit demandée.
Ensuite, le logiciel malveillant tente d’éviter d’être repéré en signant un nouveau certificat sur le nouveau paquet d’applications. Cela permet de contourner automatiquement les défenses de sécurité intégrées de macOS.
Le contournement de l’invite de permission a été utilisé par les acteurs de la menace pour prendre des captures d’écran du bureau de l’utilisateur. En dehors de ces actions, le logiciel malveillant peut également mener d’autres activités sur l’ordinateur de la victime, car il peut être utilisé pour accéder à ses numéros de carte de crédit par le biais d’un enregistreur de frappe.
La vulnérabilité a été corrigée
Selon les chercheurs, les acteurs malveillants ont déjà infecté plusieurs Mac en utilisant cette technique, mais le nombre réel de victimes n’est pas connu. Cependant, Apple a déclaré que la vulnérabilité dans macOS 11.4 a été corrigée et mise à disposition des utilisateurs sous forme de mise à jour.
L’attaque a pris la forme de projets malveillants que l’acteur de la menace a écrits pour Xcode. Un Xcode est un référentiel d’informations, de ressources et de tous les fichiers nécessaires à la création d’une application. Apple fournit cet outil gratuitement aux développeurs qui conçoivent des applications MacOS.
Lorsque l’un des projets XCSSET est exécuté, le code malveillant commence à s’exécuter sur les Macs des développeurs.
La faille provenait d’une erreur de logique qui permettait à XCSSET de se lancer dans le répertoire d’une application installée. Cela a donné au logiciel malveillant le passage complet pour hériter des autorisations de capture d’écran et d’autres privilèges.