Microsoft a mis en lumière mercredi une vulnérabilité de sécurité désormais corrigée affectant les systèmes d’exploitation d’Apple qui, si elle est exploitée avec succès, pourrait permettre aux attaquants d’élever les privilèges des appareils et de déployer des logiciels malveillants.
« Un attaquant pourrait profiter de cette vulnérabilité d’évasion du bac à sable pour obtenir des privilèges élevés sur l’appareil concerné ou exécuter des commandes malveillantes comme l’installation de charges utiles supplémentaires », a déclaré Jonathan Bar Or de l’équipe de recherche Microsoft 365 Defender. a dit dans un écrit.
Suivi comme CVE-2022-26706 (score CVSS : 5,5), la vulnérabilité de sécurité affecte iOS, iPadOS, macOS, tvOS et watchOS et a été corrigée par Apple en mai 2022.
Appelant cela un problème d’accès affectant le composant LaunchServices (launchd), le géant de la technologie a noté qu' »un processus en bac à sable peut être en mesure de contourner les restrictions du bac à sable », ajoutant qu’il atténue le problème avec des restrictions supplémentaires.
Alors qu’Apple Bac à sable de l’application est conçu pour réguler étroitement l’accès d’une application tierce aux ressources système et aux données utilisateur, la vulnérabilité permet de contourner ces restrictions et de compromettre la machine.
« La fonction principale du bac à sable est de contenir les dommages au système et aux données de l’utilisateur si l’utilisateur exécute une application compromise », a déclaré Apple. explique dans sa documentation.
« Bien que le bac à sable n’empêche pas les attaques contre votre application, il réduit les dommages qu’une attaque réussie peut causer en limitant votre application à l’ensemble minimum de privilèges dont elle a besoin pour fonctionner correctement. »
Microsoft a déclaré avoir découvert la faille lors de ses tentatives pour trouver un moyen d’échapper au bac à sable et d’exécuter des commandes arbitraires sur macOS en masquant le code malveillant dans une macro Microsoft Office spécialement conçue.
Plus précisément, la preuve de concept (PoC) de la taille d’un tweet conçue par le géant de la technologie exploite les services de lancement comme moyen d’exécuter un ouvrir la commande – un utilitaire utilisé pour ouvrir des fichiers et lancer des applications – sur une charge utile Python contenant des instructions malveillantes.
Mais il convient de noter que tout fichier déposé par une application en bac à sable est automatiquement joint au « com.apple.quarantaine » attribut étendu afin de gâchette une invite nécessitant le consentement explicite de l’utilisateur avant l’exécution.
Cette contrainte, cependant, peut être éliminée en utilisant l’option -stdin pour la commande open associée au fichier d’exploit Python.
« –stdin a contourné la restriction d’attribut étendu ‘com.apple.quarantine’, car il n’y avait aucun moyen pour Python de savoir que le contenu de son entrée standard provenait d’un fichier mis en quarantaine », a déclaré Bar Or.