La vulnérabilité de contournement de Mac Gatekeeper corrigée par Apple après sa découverte par des chercheurs de Microsoft

La vulnérabilité de contournement de Mac Gatekeeper corrigée par Apple après sa découverte par des chercheurs de Microsoft

Une grave vulnérabilité de contournement de Mac Gatekeeper a été corrigée par Apple, après avoir été découverte et signalée par des chercheurs en sécurité de Microsoft.

La faille a permis aux logiciels malveillants de contourner les contrôles Gatekeeper. Notamment, la vulnérabilité a même affecté les Mac fonctionnant en mode de verrouillage ultra-sécurisé…

Portier

Gatekeeper est une fonctionnalité de sécurité intégrée à macOS. Lorsque vous essayez d’exécuter une nouvelle application Mac pour la première fois, Gatekeeper vérifie si elle a été notariée par Apple comme provenant d’un développeur reconnu.

Il existe trois paramètres Gatekeeper sélectionnables par l’utilisateur :

  • Autoriser uniquement les applications téléchargées depuis le Mac App Store
  • Autorisez également ceux signés par des développeurs Apple certifiés
  • Autoriser toutes les applications

(Les versions actuelles et récentes de macOS masquent la troisième option, garantissant qu’elle ne peut pas être sélectionnée par inadvertance.)

Lorsqu’une nouvelle application est téléchargée à partir du Web, un attribut appelé com.apple.quarantine est attribué au fichier, qui est le signal pour que Gatekeeper le vérifie à l’ouverture.

Vulnérabilité de contournement Mac Gatekeeper

Ordinateur qui bipe signale qu’une faille macOS a permis à un attaquant d’empêcher l’attribution de l’attribut com.apple.quarantine au fichier, ce qui indique qu’il ne déclencherait pas la vérification du Gatekeeper lors de son ouverture.

La faille Achilles permet à des charges utiles spécialement conçues d’abuser d’un problème logique pour définir des autorisations restrictives de liste de contrôle d’accès (ACL) qui empêchent les navigateurs Web et les téléchargeurs Internet de définir l’attribut com.apple.quarantine pour télécharger la charge utile archivée sous forme de fichiers ZIP.

Par conséquent, l’application malveillante contenue dans la charge utile malveillante archivée se lance sur le système de la cible au lieu d’être bloquée par Gatekeeper, ce qui permet aux attaquants de télécharger et de déployer des logiciels malveillants.

Notamment, le mode de verrouillage ne protégeait pas contre la vulnérabilité.

Microsoft a déclaré lundi que « le mode de verrouillage d’Apple, introduit dans macOS Ventura en tant que fonctionnalité de protection facultative pour les utilisateurs à haut risque qui pourraient être personnellement ciblés par une cyberattaque sophistiquée, vise à arrêter les exploits d’exécution de code à distance sans clic, et ne défendre contre Achille.

Comme toujours, il est recommandé de garder votre Mac et vos autres appareils Apple entièrement à jour. Si vous ne souhaitez pas mettre à jour vers Ventura, Apple offre la possibilité de mettre à jour vers la version la plus récente (et la plus sécurisée) des macOS antérieurs.

Apple teste actuellement une nouvelle fonctionnalité Rapid Security Response pour les appareils Mac et iOS, qui lui permettra de corriger rapidement les vulnérabilités de sécurité comme celle-ci sans avoir besoin d’une mise à jour complète du système d’exploitation.

Photo : Ján Vlačuha/Unsplash


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :