Microsoft a mis en lumière une faille dans macOS qui, si elle est exploitée, pourrait permettre aux pirates d’exécuter du code arbitraire à distance. La faille, identifiée comme CVE-2022-26706, permet de contourner les règles macOS App Sandbox, permettant aux macros dans les documents Word de s’exécuter.
Depuis des années, les macros sont utilisées par de nombreux acteurs de la menace pour inciter les gens à télécharger des logiciels malveillants. (s’ouvre dans un nouvel onglet), ou rançongiciel, sur leurs terminaux. Il est arrivé à un point où Microsoft a décidé de désactiver les macros sur tous les fichiers en dehors du réseau de confiance et de rendre leur activation assez difficile pour l’utilisateur moyen de Word.
Maintenant, Microsoft avertit que la pratique peut également être utilisée sur les appareils MacOS :
Exécuter des commandes arbitraires
« Malgré les restrictions de sécurité imposées par les règles de l’App Sandbox sur les applications, il est possible pour les attaquants de contourner lesdites règles et de laisser des codes malveillants » s’échapper « du bac à sable et d’exécuter des commandes arbitraires sur un appareil affecté », a expliqué la société.
La faille a été découverte par l’équipe de recherche Microsoft 365 Defender et aurait été corrigée par Apple le 16 mai.
App Sandbox est une technologie intégrée à macOS, qui gère le contrôle d’accès aux applications. Comme son nom l’indique, son objectif est de contenir tout dommage potentiel qu’une application malveillante peut causer et de protéger les données sensibles.
Le problème commence par la rétrocompatibilité de Word. Pour s’assurer que cela fonctionne, l’application peut lire ou écrire des fichiers avec un refix « ~$ ». En tirant parti des services de lancement de macOS, pour exécuter une commande open -stdin sur un fichier Python spécialement conçu avec ce préfixe, l’attaquant peut contourner le bac à sable, a expliqué Microsoft.
Cette méthode permet également aux acteurs de la menace de contourner les « fonctionnalités de sécurité de base intégrées » dans macOS, compromettant ainsi les données système et utilisateur.
Microsoft a publié une preuve de concept, dont le code est si simple que l’on peut simplement déposer un fichier Python, avec le préfixe susmentionné, avec des commandes arbitraires.
« Python exécute notre code avec plaisir, et comme il s’agit d’un processus enfant de launchd, il n’est pas lié aux règles du bac à sable de Word », a déclaré Microsoft.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)