En novembre 2017, une vulnérabilité avait été découverte sur macOS High Sierra par le développeur turc Lemi Ergin. Elle permettait de se connecter en tant que root sur un Mac sans mot de passe et sans aucune vérification de sécurité. Et elle fonctionnait aussi bien avec les Mac déverrouillés qu’avec les Mac verrouillés. Presque un an plus tard, une nouvelle vulnérabilité vient d’être découverte sur macOS. Il s’agit d’une faille zero-day qui pourrait potentiellement permettre à un attaquant de compromettre tout le système d’exploitation.
La vulnérabilité a été découverte par Patrick Wardle, directeur de la recherche de Digita Security et ancien hacker au service de la NSA. Elle provient des fonctionnalités d’accessibilité permettant aux utilisateurs d’interagir avec tout composant de l’interface utilisateur, y compris les messages de dialogue de sécurité, grâce à des clics virtuels (les événements synthétiques). Bien qu’en théorie, elles soient conçues pour aider les personnes handicapées, elles permettent également aux utilisateurs de cliquer sur les invites de sécurité et de charger les extensions du noyau. Un pirate pourrait également s’en servir pour contourner l’invite d’accès au trousseau et extraire les mots de passe. En un seul clic, d’innombrables mécanismes de sécurité peuvent donc être complètement ignorés, rendant ainsi vulnérable le système d’exploitation.
Après sa découverte, l’ex-hacker de la NSA a conduit une attaque basée sur cette faille. Et cette attaque a été menée avec succès sur un macOS équipé des derniers correctifs. « Ce bogue a permis de contourner la fonction de sécurité “User-Approved Kext” d’Apple, de supprimer tous les mots de passe du trousseau, de contourner les outils de sécurité tiers et bien plus encore. Et comme le patch d’Apple était incomplet, nous nous retrouvons avec une faille zero-day qui permet à un code non privilégié de poster des événements synthétiques et de contourner divers mécanismes de sécurité », a-t-il déclaré.
Apple a apporté un correctif à cette faille dans sa dernière version bêta de macOS Mojave. L’entreprise a complètement supprimé certains événements synthétiques et l’utilisateur peut aussi désactiver ou bloquer certaines fonctionnalités légitimes pour empêcher que des options de sécurité soient activées par des clics virtuels.
Sources : Speaker Deck
