Une séquence de bogues interconnectés pourrait permettre aux pirates de détourner des appareils fonctionnant sous macOS en utilisant un peu plus qu'un document Office infecté et un fichier .zip, a averti un expert.
La vulnérabilité a été identifiée par l'ancien chercheur de la NSA Patrick Wardle, qui travaille maintenant pour la société de sécurité Jamf, qui a découvert que même les systèmes macOS Catalina entièrement corrigés étaient en danger.
L'exploit utilise un document Office truqué, enregistré dans un format archaïque (.slk), pour inciter la machine cible à autoriser Office pour activer les macros sans consentement et sans avertir l'utilisateur.
L'attaque profite alors de deux vulnérabilités supplémentaires pour prendre le contrôle de la machine. En incluant un signe dollar au début du nom de fichier, un pirate peut se libérer du sandbox restrictif d'Office, tandis que la compression du fichier dans un dossier .zip contourne les contrôles macOS qui empêchent les éléments téléchargés d'accéder aux fichiers utilisateur.
Sommaire
Sécurité Mac
Le macOS d'Apple jouit depuis longtemps d'une excellente réputation du point de vue de la sécurité et de la confidentialité des données, mais les appareils Apple ne sont en aucun cas inhackables. Cette idée fausse, suggère Wardle, pourrait amener les utilisateurs et le personnel de sécurité à sous-estimer le niveau de menace potentiel.
«Dans le monde de Windows, les attaques d'Office basées sur des macros sont bien comprises (et franchement, ce sont des nouvelles assez anciennes). Cependant, sur macOS, bien que ces attaques gagnent en popularité et soient très en vogue, elles ont reçu beaucoup moins d'attention de la part de la communauté de la recherche et de la sécurité », a-t-il écrit article de blog.
"Déclenchée en ouvrant simplement un document Office malveillant (contenant des macros), aucune alerte, aucune invite ni aucune autre interaction utilisateur n'était requise pour infecter de manière persistante même un système macOS Catalina entièrement corrigé.
Le chercheur a admis que l'attaque obligeait la personne cible à se connecter et à se déconnecter de son appareil deux fois, une étape supplémentaire du processus étant accomplie à chaque connexion. Cependant, cela ne rend pas nécessairement l'attaque moins faisable pour les criminels, qui se contentent de jouer le long jeu.
Selon Wardle, Apple n'a pas répondu à sa divulgation. Microsoft, pour sa part, a mené une enquête sur le problème et vérifié les conclusions du chercheur.
"[The company has] a déterminé que toute application, même en bac à sable, est vulnérable à une mauvaise utilisation de ces API. Nous sommes en discussion régulière avec Apple pour identifier des solutions à ces problèmes et une assistance en cas de besoin », a déclaré un porte-parole de Microsoft.
Les vulnérabilités ont maintenant été corrigées avec les dernières versions d'Office pour Mac. Il est donc conseillé aux utilisateurs de mettre à jour leur logiciel Office et leur système d'exploitation dès que possible, pour se prémunir contre les attaques.
Via VICE