Une vulnérabilité "jour-zéro" affectant macOS Mojave dévoilée

Une nouvelle vulnérabilité « jour zéro » a été présentée lors de la conférence de sécurité informatique « Objective By the Sea (OBTS) » à Monte-Carlo. Découverte par le chercheur en sécurité informatique Patrick Wardle, celle-ci affecte toutes les versions macOS Mojave et concerne un nouveau mécanisme de sécurité introduit en juin dernier par Apple.

L’an dernier, Apple a mis en place un nouveau dispositif de sécurité qui consiste à forcer toute application à demander explicitement différentes autorisations à l’utilisateur pour pouvoir accéder à des ressources (microphone, géolocalisation, caméra, historique de navigation, messages …). Ainsi, une application qui souhaite accéder à la position de l’utilisateur ouvre une boite de dialogue lui demandant s'il accepte ou non le partage de sa position.

Cependant il est possible d’outrepasser ce dispositif à travers une autre fonctionnalité de macOS : les clics synthétiques. Cette fonctionnalité permet à des applications d’effectuer des « clics de souris » à la place de l’utilisateur, afin d'automatiser des tâches et notamment pour permettre à des personnes handicapées d’utiliser l’ordinateur. Normalement utilisable uniquement par des applications approuvées par Apple, un défaut de conception permet à des applications normalement non habilitées, à se servir de ce mécanisme. Il n’existe pas à ce jour de correctif de sécurité pour cette vulnérabilité.

Détails techniques :

Lorsqu’une application souhaite utiliser la fonctionnalité de « clic synthétique » :

  1. Le système d’exploitation vérifie si celle-ci est présente dans la liste blanche des applications autorisées par Apple. Pour cela, le mécanisme de sécurité se base sur le certificat numérique de l’application.
  2. La vérification a bien lieu, mais le processus ne parvient pas à vérifier si l’application a été altérée ou non. En pratique, cela signifie qu’un attaquant peut corrompre n’importe quelle application de la liste blanche et s’en servir pour effectuer des clics automatiquement à la place de l’utilisateur.
  3. Il est ensuite par la suite possible pour une application malveillante de « cliquer » à la place de l’utilisateur sur « oui » lorsque la boite de dialogue de sécurité demande son autorisation pour accéder à une ressource.

Il est également à noter que cette vulnérabilité n’est pas exploitable directement. Il faut en effet que l’attaquant ait réussi à installer une application malveillante sur l’ordinateur de sa victime. Lors de la présentation de ce « jour zéro », l’application « VLC Player », une des applications approuvées par Apple, a été utilisée pour effectuer une démonstration de faisabilité.

Informations
+

Risques

  • Elévation de privilèges ;

Criticité

  • Score CVSS : en cours d'évaluation.

Existence d’un code d’exploitation de la vulnérabilité

  • Un code d'exploitation pour la vulnérabilité existe mais n'a pas été diffusé.

Composants & versions vulnérables

  • macOS Mojave 10.4.5 (13 mai 2019) et versions anterieures.

CVE

  • N/A

Recommandations
+

Mise en place de correctif de sécurité

  • Aucun correctif pour cette vulnérabilité n'a été diffusé.

Solution de contournement

  • Aucune solution de contournement n'a été diffusée.