Microsoft a publié des informations sur une faille du système d’exploitation d’Apple, comblée dans macOS 12.1, qui permettait aux apps d’accéder de manière non souhaitée à des composants sensibles comme le microphone ou l’appareil photo. Le bug concerne la technique Transparency, Consent, and Control (TCC), qui devrait permettre aux utilisateurs de contrôler quelles apps peuvent accéder à quelles zones du système. Mais selon l’éditeur d’Office, il a été possible de contourner la TCC par une astuce.
Sommaire
Pas la première faille
Le problème a été baptisé Powerdir par Microsoft. La faille porte l’identifiant CVE-ID 2021-30970 et a été corrigée dans la dernière mise à jour Monterey. « Nous recommandons à tous les utilisateurs de mettre à jour », écrit le groupe. L’équipe Microsoft 365 Defender démontre dans un exemple d’exploit comment l’application maison Teams pourrait être utilisée de manière abusive. La base de données TCC existante d’une application peut être remplacée par une version manipulée. Le contournement de TCC n’est pas tout à fait nouveau – en 2020 déjà, des experts en sécurité avaient réussi à « craquer complètement » TCC, ce à quoi Apple avait dû remédier par un patch.
L’approche de Microsoft est nouvelle dans la mesure où elle a réussi à manipuler le binaire configd d’Apple, qui dispose de droits étendus. Les experts en sécurité ont ensuite téléchargé du code via des agents de configuration. configd ne dispose pas non plus de l’indicateur Hardened Runtime, ce qui lui permet de « charger du code entièrement non signé ». Le démon tccd, qui prend en charge la gestion du TCC, s’exécute sur l’ensemble du système en tant que root, mais aussi individuellement au nom de l’utilisateur.
Ce que TCC gère
Cela contrôle entre autres l’accès (comme mentionné) au microphone et à l’appareil photo, mais aussi les informations de localisation, l’accès complet au SSD (Full Disk Access), les captures d’écran et l’accès à iCloud, aux rappels, au calendrier et aux dossiers individuels comme le bureau. En examinant la fonction d’accès au disque complet, Microsoft a également constaté que les utilisateurs disposant de ces droits pouvaient modifier la base de données TCC.
Apple a touché à TCC à quatre endroits dans macOS 12.1. Outre la faille Microsoft, il était également possible de modifier des « parties protégées du système de fichiers » ainsi que de mener une attaque par déni de service contre des clients Endpoint Security. En outre, un collaborateur de Zoom a découvert une autre possibilité de contourner les paramètres de protection des données.