Une vulnérabilité 0-Day de Gatekeeper exploitée pour attaquer les ordinateurs macOS
Apple vient de publié une mise à jour du système d'exploitation macOS pour remédier à une vulnérabilité zero-day activement exploitée qui pourrait contourner toutes les protections de sécurité, permettant ainsi à des logiciels non approuvés de s'exécuter sur les Mac.
La faille macOS, identifiée comme CVE-2021-30657, a été découverte et signalée à Apple par l'ingénieur en sécurité Cedric Owens le 25 mars 2021.
"Une application de preuve de concept non signée, non notariée et basée sur un script [...] pourrait contourner de manière simple et fiable tous les mécanismes de sécurité pertinents de macOS (Quarantaine de fichiers, Gatekeeper et exigences de notarisation), même sur un système macOS M1 entièrement corrigé. Armés d'une telle capacité, les auteurs de logiciels malveillants macOS pourraient (et sont) de retour à leurs méthodes éprouvées de ciblage et d'infection des utilisateurs macOS", explique le chercheur en sécurité Patrick Wardle.
MacOS est livré avec une fonctionnalité appelée Gatekeeper, qui permet uniquement d'exécuter des applications de confiance en s'assurant que le logiciel a été signé par l'App Store ou par un développeur enregistré et a effacé un processus automatisé appelé «notarisation d'application» qui analyse le logiciel pour contenu malveillant.
Mais la nouvelle faille découverte par Owens pourrait permettre à un adversaire de créer une application non autorisée de manière à tromper le service Gatekeeper et à être exécutée sans déclencher d'avertissement de sécurité. La supercherie consiste à empaqueter un script shell malveillant comme une "application double-cliquable" afin que le logiciel malveillant puisse être double-cliqué et s'exécuter comme une application.
L'attaque fonctionne en manipulant les résultats des moteurs de recherche pour faire apparaître des liens malveillants qui, lorsqu'ils sont cliqués, redirigent les utilisateurs vers une page Web qui invite les utilisateurs à télécharger une mise à jour d'application apparemment bénigne pour un logiciel obsolète, qui dans cette campagne, est un script bash conçu pour récupérer furtivement les charges utiles de la prochaine étape, y compris l'adware Bundlore. Fait troublant, ce schéma d'infection pourrait être exploité pour fournir des menaces plus avancées telles que les logiciels de surveillance et les ransomwares.
Il est recommandé aux utilisateurs d'appareils Apple de mettre à jour vers les dernières versions pour atténuer le risque associé aux failles.
La Rédaction d'Africa CyberSecurity Mag
