AccueilActualités informatiqueActuellement en cours d'attaque : Un dangereux zero-day dans macOS et iOS

Actuellement en cours d’attaque : Un dangereux zero-day dans macOS et iOS

Apple a publié des mises à jour de sécurité urgentes pour macOS et iOS, qui doivent être installées dès que possible. Des chercheurs en sécurité de Google avaient précédemment découvert une vulnérabilité de type « zero-day » (CVE-2021-30869) dans le noyau XNU, le cœur des deux systèmes d’exploitation. Une application malveillante peut abuser de cette vulnérabilité pour exécuter un code malveillant arbitraire avec les privilèges du noyau – en d’autres termes, pour compromettre complètement le système. La vulnérabilité est particulièrement critique car il s’agit d’un jour zéro. Cela signifie qu’au moment où les chercheurs de Google l’ont découvert, il avait déjà été utilisé pour des attaques. Apple elle-même met en garde contre ce problème. Selon certaines informations, cette faille est déjà exploitée « dans la nature ».

Les Macs équipés de macOS Catalina (version 10.15) devraient déjà proposer à leurs utilisateurs la mise à jour de sécurité 2021-006, qui comble le vide. Les anciennes versions du système d’exploitation iOS sont également concernées.

Sommaire

Les appareils suivants sont vulnérables : iPhone 5s, 6, 6 Plus ainsi que l’iPad Air, Mini 2, Mini 3 et l’iPod Touch. La lacune y est corrigée par une mise à jour vers iOS 12.5.5 ; elle corrige également un bug notoire exploité par le logiciel espion Pegasus, pour les appareils plus anciens, et est donc doublement importante. Les mises à jour doivent être installées dès que possible, car les attaques contre les appareils vulnérables sont apparemment déjà en cours. Les chercheurs en sécurité soupçonnent que cette lacune est utilisée de manière abusive pour des attaques contre le composant de navigateur WebKit, qui est utilisé dans de nombreuses applications et dans macOS et iOS eux-mêmes.

La vulnérabilité est un problème de gestion de la mémoire où il semble que le noyau ne vérifie pas correctement le type de données écrites en mémoire, permettant aux attaquants d’exécuter leur code malveillant. Selon Apple, la mise à jour améliore le contrôle d’état dans cette zone et empêche ainsi l’exécution de fragments de mémoire qui ne devraient pas être exécutés.

On ignore encore si les versions actuelles de macOS et d’iOS sont également touchées par le bogue XNU. Apple n’a encore fait aucune déclaration à ce sujet dans les notes de mise à jour de sécurité existantes pour iOS 15 et iPadOS 15 ainsi que pour iOS 14.8 et macOS Big Sur 11.6. Toutefois, au grand dam de nombreux experts en sécurité, l’entreprise a désormais tendance à ne présenter les bogues corrigés que par bribes. Pour iOS 14.8, par exemple, des lacunes supplémentaires – voire critiques – n’ont été ajoutées qu’une semaine après la publication.

Indépendamment de l’exploit zero-day dans le noyau XNU, une autre vulnérabilité existe actuellement dans le gestionnaire de fichiers Finder de macOS. La vulnérabilité du Finder est également une vulnérabilité qui permet aux attaquants d’exécuter à distance un code malveillant arbitraire. Selon Apple, la faille a été comblée avec macOS Big Sur (version 11.6), mais la correction ne semble pas avoir été suffisamment étendue, de sorte que le système d’exploitation de bureau d’Apple est toujours vulnérable à une attaque via cette faille.

Pour exploiter cette faille, un attaquant crée un fichier avec l’extension .inetloc et y injecte du code malveillant. Ces fichiers peuvent être joints à des courriels, par exemple, et peuvent ensuite être exécutés automatiquement sans avertissement lorsque la victime clique dessus. Lorsque le fichier est téléchargé manuellement et que l’on double-clique dessus, le code malveillant est également exécuté. En fait, les fonctions de sécurité de macOS Quarantine et Gatekeeper devraient empêcher ce comportement du système d’exploitation, mais la vulnérabilité permet d’exécuter le code malveillant sans problème.

Selon le chercheur en sécurité qui a découvert la vulnérabilité, Apple avait corrigé le problème à partir de macOS Big Sur en permettant, dans certaines circonstances, aux fichiers de ce type d’exécuter du code via une file:// URL pour les fichiers de ce type. Cependant, Apple était apparemment un peu trop crédule et a oublié de bloquer également les autres orthographes de « file ». Ce qui signifie que le hack fonctionne toujours si vous chargez du code ou des programmes avec une URL ayant le préfixe FiLe:// préfixe. Comme le correctif d’Apple peut être contourné par cette simple astuce, macOS reste vulnérable aux attaques avec des fichiers .inetloc.

Mehr von Mac & i


(fab)

Plus d'articles