On dirait bien que les experts en sécurité de Microsoft ont déniché une faille surprenante, et ce, non pas dans leur Windows, mais bel et bien sur le macOS, le système d’exploitation qu’utilisent les ordinateurs d’Apple.
La faille, surnommée Migraine et classée sous le nom de CVE-2023-32369, laisse la porte ouverte aux attaquants ayant des privilèges root pour parvenir à contourner d’imposantes mesures de sécurité, c’est comme s’infiltrer silencieusement dans la forteresse la mieux gardée, et réussir l’exploit d’accéder aux données sensibles de leur proie innocente.. Apple a été mis au parfum par Microsoft et la firme à la pomme n’a pas traîné pour corriger le tir. Des mises à jour de sécurité ont ainsi été proposées le 18 mai. On parle ici de macOS Ventura 13.4, macOS Monterey 12.6.6 et macOS Big Sur 11.7.7. Précisons que ce n’est pas la première fois que Microsoft rapporte ce genre de faille sur les produits Apple.
La mesure de sécurité concernée, c’est ce qu’on appelle la System Integrity Protection (SIP), ou en français, « sans racine ». Son objectif : empêcher les logiciels étranges de bidouiller là où ils ne devraient pas, en imposant des restrictions sur les fichiers et les dossiers à protéger via le compte utilisateur root et ses possibilités dans les zones sécurisées de l’OS.
MacOS, moins sécurisé qu’on le croit ?
La SIP veille à ce que seuls les processus autorisés par Apple et ayant des droits spéciaux puissent modifier les éléments protégés du macOS. Si l’on veut désactiver la SIP, il faut redémarrer l’ordinateur et passer par macOS Recovery, ce qui est loin d’être une mince affaire et qui nécessite un accès physique à la machine concernée.
Mais voilà, les experts de Microsoft ont fait une découverte inquiétante : les attaquants ayant les droits d’accès adéquats peuvent contourner la SIP grâce à l’outil macOS Migration Assistant. Grâce à AppleScript, les pirates informatiques peuvent ainsi automatiser le processus de migration et glisser un code malveillant dans la liste des exclusions de la SIP. Il devient alors possible pour les attaquants de lancer leur code sans avoir à redémarrer le système ou passer par macOS Recovery.
Cette faille représente un danger immense, puisqu’elle autorise les codes malveillants à causer des ravages, créant ainsi des programmes malveillants quasiment indélogeables. Les risques d’attaques se multiplient, avec par exemple des dégradations de l’intégrité du système, l’exécution de code de noyau arbitraire et l’installation de rootkits pour camoufler des fichiers malveillants.
Et si ce n’était pas suffisant, contourner le SIP offre aussi la possibilité de contourner certaines politiques de transparence, contrôle et consentement (TCC), qui sont normalement là pour protéger les données utilisateurs. Les pirates informatiques peuvent ainsi jouer avec les bases de données TCC et s’octroyer un accès totalaux informations privées de leurs victimes.
Aucune étiquette pour cette publication.