Un chercheur en sécurité a trouvé un moyen permettant à un attaquant de tirer parti de la version macOS de Zoom pour accéder à l’ensemble du système d’exploitation.
Les détails de l’exploit ont été publiés dans une présentation donnée par le spécialiste de la sécurité Mac Patrick Wardle lors de la conférence de piratage Def Con à Las Vegas vendredi. Certains des bugs impliqués ont déjà été corrigés par Zoom, mais le chercheur a également présenté une vulnérabilité non corrigée qui affecte toujours les systèmes actuellement.
L’exploit fonctionne en ciblant le programme d’installation de l’application Zoom, qui doit s’exécuter avec des autorisations utilisateur spéciales afin d’installer ou de supprimer l’application Zoom principale d’un ordinateur. Bien que le programme d’installation exige qu’un utilisateur entre son mot de passe lors de l’ajout initial de l’application au système, Wardle a découvert qu’une fonction de mise à jour automatique s’exécutait ensuite continuellement en arrière-plan avec des privilèges de superutilisateur.
Lorsque Zoom publiait une mise à jour, la fonction de mise à jour installait le nouveau package après avoir vérifié qu’il avait été signé cryptographiquement par Zoom. Mais un bogue dans la façon dont la méthode de vérification a été implémentée signifiait que donner au programme de mise à jour n’importe quel fichier portant le même nom que le certificat de signature de Zoom serait suffisant pour réussir le test – afin qu’un attaquant puisse substituer n’importe quel type de programme malveillant et le faire exécuter par le programme de mise à jour avec des privilèges élevés.
Le résultat est une attaque par élévation de privilèges, qui suppose qu’un attaquant a déjà obtenu un accès initial au système cible, puis emploie un exploit pour obtenir un niveau d’accès plus élevé. Dans ce cas, l’attaquant commence avec un compte d’utilisateur restreint mais passe au type d’utilisateur le plus puissant – connu sous le nom de « superutilisateur » ou « root » – lui permettant d’ajouter, de supprimer ou de modifier n’importe quel fichier sur la machine.
Wardle est le fondateur de la fondation Objective-See, une organisation à but non lucratif qui crée des outils de sécurité open source pour macOS. Auparavant, lors de la conférence sur la cybersécurité Black Hat qui s’est tenue la même semaine que Def Con, Wardle a détaillé l’utilisation non autorisée d’algorithmes extraits de son logiciel de sécurité open source par des entreprises à but lucratif.
Conformément aux protocoles de divulgation responsables, Wardle a informé Zoom de la vulnérabilité en décembre de l’année dernière. À sa grande frustration, il dit qu’un correctif initial de Zoom contenait un autre bogue qui signifiait que la vulnérabilité était encore exploitable d’une manière légèrement plus détournée, il a donc divulgué ce deuxième bogue à Zoom et a attendu huit mois avant de publier la recherche.
« Pour moi, c’était un peu problématique car non seulement j’ai signalé les bogues à Zoom, mais j’ai également signalé des erreurs et comment corriger le code », a déclaré Wardle. Le bord lors d’un appel avant la conversation. « C’était donc vraiment frustrant d’attendre, quoi, six, sept, huit mois, sachant que toutes les versions Mac de Zoom étaient installées sur les ordinateurs des utilisateurs vulnérables. »
Quelques semaines avant l’événement Def Con, Wardle a déclaré que Zoom avait publié un correctif qui corrigeait les bogues qu’il avait initialement découverts. Mais après une analyse plus approfondie, une autre petite erreur signifiait que le bogue était toujours exploitable.
Dans la nouvelle version du programme d’installation de la mise à jour, un package à installer est d’abord déplacé vers un répertoire appartenant à l’utilisateur « root ». Généralement, cela signifie qu’aucun utilisateur ne disposant pas de l’autorisation root ne peut ajouter, supprimer ou modifier des fichiers dans ce répertoire. Mais en raison d’une subtilité des systèmes Unix (dont macOS fait partie), lorsqu’un fichier existant est déplacé d’un autre emplacement vers le répertoire racine, il conserve les mêmes autorisations de lecture-écriture qu’il avait auparavant. Donc, dans ce cas, il peut toujours être modifié par un utilisateur régulier. Et parce qu’il peut être modifié, un utilisateur malveillant peut toujours échanger le contenu de ce fichier avec un fichier de son choix et l’utiliser pour devenir root.
Bien que ce bogue soit actuellement en direct dans Zoom, Wardle dit qu’il est très facile à corriger et qu’il espère que le fait d’en parler publiquement « graissera les rouages » pour que l’entreprise s’en occupe le plus tôt possible.
Dans une déclaration à Le bordMatt Nagel, responsable des relations publiques de la sécurité et de la confidentialité de Zoom, a déclaré : « Nous sommes conscients de la vulnérabilité récemment signalée dans le programme de mise à jour automatique de Zoom pour macOS et nous travaillons avec diligence pour y remédier. »
Mise à jour le 12 août, 23 h 09 HE : Article mis à jour avec la réponse de Zoom.