Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Adrien Guilnault, XMCO Partners : Le premier véritable virus pour Mac OS exploite une vulnérabilité du système Apple

juin 2008 par Marc Jacob

Il est communément admis que les systèmes Apple ne sont pas sujets aux virus car ceux-ci sont basés sur un noyau Unix et donc des utilisateurs qui ne sont pas Administrateur de leur poste.

C’est un fait. Les experts en sécurité informatique pouvaient cependant émettre une réserve : « Oui, tant qu’il n’y a pas d’exploit local permettant au virus de passer Administrateur ». C’est malheureusement une chose temporairement possible.

La société Intego vient de découvrir une vulnérabilité importante au sein des systèmes d’exploitation d’Apple Mac OS X 10.4 (Tiger) et Mac OS X 10.5 (Léopard) [1].

La vulnérabilité découverte permet à un utilisateur malveillant d’obtenir des privilèges administrateur (root).

Le problème est lié à une erreur de permissions, présente au sein de ARDAgent, l’application permettant de prendre le contrôle d’une machine via Apple Remote Management).

Cette application possède des permissions spéciales : le setuid bit. Le setuid indique au système que l’exécution du programme devra être faite avec les droits de propriétaire du programme plutôt qu’avec les droits de l’utilisateurs courant.

Le programme ARDAgent appartient au super-utilisateur root. Ainsi, lors de l’exécution du programme, celui-ci détient les permissions root sans avoir à saisir le mot de passe de ce compte.

Les chercheurs de la société Intego ont démontrer le moyen de lancer des scripts "AppleScript" à travers ARDAgent. Ainsi, il est possible d’exécuter n’importe quelle commande avec les privilèges du compte root sans connaître le mot de passe.
La commande en question a déjà été diffusée sur plusieurs forums.

Commande :
#xxxscript -e ’tell app "ARDAgent" to do shell script ""’

Exemple :
#xxxscript -e ’tell app "ARDAgent" to do shell script "whoami"’
root

La capture précédente illustre l’exploitation de la vulnérabilité. Aucun outil n’est utilisé. L’utilisation de « osascript » (natif) avec les paramètres appropriés permet ici d’exécuter la commande « whoami » (quel utilisateur suis-je) avec les permissions root.
Il est donc possible avec une commande judicieuse d’obtenir un accès distant root sur un système Mac OS X !
Aucun correctif n’est actuellement disponible. Cependant, plusieurs protections existent :
La première consiste à activer le service "Gestion à distance" (Remote Management) à partir du menu Partage des Préférences Système. Il est bien sûr conseillé de désactiver toutes les options afin d’éviter d’exposer sa machine à l’administration distante comme le montre la capture suivante :

Il est également possible de supprimer l’application ARDAgent.app présente au sein du répertoire
/System/Library/CoreServices/RemoteManagement.
Enfin, vous pouvez modifier les droits de l’exécutable en question avec la commande suivante :
sudo chmod -R u-s
/System/Library/CoreServices/RemoteManagement/ARDAgent.app

Cependant, l’exécution de cette commande pourrait avoir des conséquences (désactivation des mises à jour).

Dernière information [2] sur cette vulnérabilité. Un virus a déjà été développé. Ce dernier baptisé AppleScript.THT se matérialise sous la forme d’un AppleScript compilé sous le nom ASthtv05 (60KB) permettant au pirate de prendre le contrôle total du système (exécution de code, captures d’écran avec le logiciel iSight, enregistrement les frappes clavier, vols des mots de passe de l’utilisateur piégé, désactivation des messages systèmes…).

En conclusion, la sécurité d’Apple Mac OS est la même que celle de tout système Unix. Les failles setuid ont toujours existé sur les systèmes Unix, Mac OS X ne passera donc pas à côté.

Références :

[1] http://www.intego.com/news/ism0802.asp
[2] http://www.securemac.com/applescript-tht-trojan-horse.php


Voir les articles précédents

    

Voir les articles suivants