Les chercheurs en cybersécurité ont découvert une nouvelle vulnérabilité dans macOS qui permettait aux pirates de contourner complètement les solutions de sécurité natives et d’exécuter une application non signée et non notariée sans afficher les invites de sécurité.
Annoncer la nouvelle dans un article de blog (s’ouvre dans un nouvel onglet)des chercheurs de Jamf Threat Labs ont déclaré avoir repéré la faille dans macOS Archive Utility, l’application d’archivage macOS native, similaire à WinRAR et à d’autres applications d’archivage.
L’abus de la faille trouvée dans cette application permet aux acteurs de la menace de contourner Gatekeeper et tous les autres contrôles de sécurité.
Dossiers de quarantaine
Expliquant la faille, suivie comme CVE-2022-32910, Jamf a déclaré qu’elle tourne autour de la façon dont macOS gère le désarchivage des fichiers téléchargés sur Internet.
Lorsqu’un utilisateur Mac télécharge une archive, il reçoit un titre d’attribut étendu com.apple.quarantine, signalant au système d’exploitation qu’il a été reçu d’un emplacement distant et doit être analysé. Tout ce qui est extrait recevra également le même attribut de quarantaine. Eh bien – presque tout. Dans certains cas, Archive Utility créera des dossiers supplémentaires pour éviter toute confusion :
« En ce qui concerne les ensembles d’applications, Gatekeeper ne se soucie que si le répertoire de l’application lui-même a un ensemble d’attributs de quarantaine et ignore les fichiers récursifs dans l’ensemble de l’application. Par conséquent, nous pouvons contourner Gatekeeper en nous assurant que notre dossier non mis en quarantaine est une application », ont expliqué les chercheurs.
« Comme mentionné, le nom du dossier contenant nos fichiers non archivés est contrôlé par l’utilisateur car Archive Utility crée ce dossier en fonction du nom de l’archive sans l’extension. Par conséquent, nous pouvons nommer notre archive quelque chose comme test.app.aar de sorte que lorsqu’elle sera désarchivée, elle aura un nom de dossier intitulé test.app. Dans cette application, il y aura un ensemble d’applications attendu contenant l’exécutable.
Pour que la faille soit exploitée, le nom de l’archive doit inclure une extension .app, il doit y avoir au moins deux fichiers ou dossiers à la racine du répertoire cible à archiver, car cela déclenche le renommage automatique du répertoire temporaire, et seulement les fichiers et dossiers de l’application doivent être archivés, à l’exception du répertoire test.app.
Jamf dit qu’après l’avoir divulgué à Apple, la société a corrigé le problème en juillet 2022, il est donc conseillé aux utilisateurs de mettre à jour dès que possible.