Un bogue de validation des signatures permet aux logiciels malveillants de contourner plusieurs produits de sécurité Mac

Une vulnérabilité vieille de plusieurs années a été découverte dans la façon dont plusieurs produits de sécurité pour Mac implémentent l’API de signature de code d’Apple qui pourrait permettre aux programmes malveillants de contourner le contrôle de sécurité, laissant potentiellement des millions d’utilisateurs vulnérables aux pirates informatiques.

Josh Pitts, un chercheur de la société de sécurité Okta, a découvert que plusieurs produits de sécurité tiers pour Mac - y compris Little Snitch, F-Secure xFence, VirusTotal, Google Santa et Facebook OSQuery - pourraient être trompés en leur faisant croire qu’un code malveillant non signé signé par Apple.

Le mécanisme de signature de code est une arme essentielle dans la lutte contre les logiciels malveillants, ce qui aide les utilisateurs à identifier qui a signé l’application et fournit également une preuve raisonnable qu’elle n’a pas été modifiée.

Cependant, Pitts a constaté que le mécanisme utilisé par la plupart des produits pour vérifier les signatures numériques est trivial à contourner, permettant à des fichiers malveillants d’être associés à un code légitime signé Apple pour que le malware ressemble effectivement à Apple.
Il convient de noter que ce problème n’est pas une vulnérabilité dans MacOS mais une faille dans la façon dont les outils de sécurité tiers implémentent les API de signature de code d’Apple lorsqu’ils traitent les fichiers exécutables de Mac appelés Universal / Fat files.

L’exploitation de la vulnérabilité nécessite un attaquant pour utiliser le format binaire universel ou Fat, qui contient plusieurs fichiers Mach-O (exécutables, dyld ou bundle) écrits pour différentes architectures CPU (i386, x86_64 ou PPC).

"Cette vulnérabilité existe dans la différence entre la façon dont le chargeur Mach-O charge le code signé et la manière dont les API Code Signing utilisées de manière incorrecte vérifient le code signé et sont exploitées via un Universal / Fat Binary mal formé", explique Pitts.

Pitts a également créé plusieurs fichiers PoC Fat / Universal malformés à l’intention des développeurs afin de tester leurs produits contre cette vulnérabilité.

Les attaques réussies exploitant cette technique pourraient permettre aux attaquants d’accéder à des données personnelles, à des informations financières et même à des informations confidentielles sensibles, dans certains cas, selon les chercheurs.

Voici la liste des fournisseurs concernés, ainsi que les produits de sécurité et les CVE associés :

  • VirusTotal (CVE-2018-10408)
  • Google-Santa, molcodesignchecker (CVE-2018-10405)
  • Facebook-OSQuery (CVE-2018-6336)
  • Développement objectif-LittleSnitch (CVE-2018-10470)
  • F-Secure-xFence et LittleFlocker (CVE-2018-10403)
  • Objective-See-WhatsYourSign, ProcInfo, KnockKnock, LuLu, TaskExplorer et autres (CVE-2018-10404)
  • Yelp-OSXCollector (CVE-2018-10406)
  • Réponse carbone noir-Cb (CVE-2018-10407)

Le chercheur a d’abord informé Apple de la vulnérabilité en mars, mais Apple a déclaré que la société ne la voyait pas comme un problème de sécurité auquel ils devraient directement s’attaquer.

"Apple a déclaré que la documentation pourrait être mise à jour et de nouvelles fonctionnalités pourraient être rejetées, mais les développeurs tiers devront faire un travail supplémentaire pour vérifier que toutes les identités dans un binaire universel sont les mêmes si elles veulent présenter un résultat significatif ’", A déclaré Pitts.

Ainsi, après avoir entendu Apple, Okta a contacté CERT / CC, puis a informé tous les développeurs tiers concernés, qui travaillent sur des correctifs de sécurité qui seront probablement publiés prochainement.

Google a reconnu et a déjà publié la mise à jour de sécurité pour son Père Noël fin avril. Ainsi, les utilisateurs sont invités à mettre à niveau vers la dernière Santa v0.9.25.

Facebook a également résolu ce problème dans la dernière version d’OSquery, qui est déjà disponible en téléchargement . F-Secure a également déployé une mise à jour automatique pour les utilisateurs de xFENCE afin de corriger la vulnérabilité.

Si vous utilisez l’un des outils listés ci-dessus, il est conseillé de vérifier les mises à jour dans les prochains jours et de mettre à jour votre logiciel dès sa sortie pour vous prémunir contre les attaques exploitant la vulnérabilité.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 29 |

Actu en image