Une vulnérabilité 0-Day pour MacOS X

Par Jerome Saiz, le 23 avril 2007 à 22:53:00.

Un hacker vient d'empocher une prime de dix-mille dollars pour avoir démontré qu'il était capable de prendre le contrôle à distance d'un Mac dans sa configuration par défaut. La vulnérabilité serait exploitable à la visite d'un site web piégé. Selon l'inventeur de la faille, tous les Mac du moment seraient vulnérables. [Mis à jour le 24/04/07]

C'est finalement une vulnérabilité exploitable via le navigateur Safari qui aura permis à un pirate de remporter le prix de dix-mille dollars offert dans le cadre de la conférence CanSecWest, au Canada.

Les organisateurs avaient en effet installé deux Mac accessibles depuis une borne wifi. Leur configuration était celle par défaut et aucun programme supplémentaire n'était exécuté. L'objectif était d'en prendre le contrôle à distance : le premier devait être compromis en obtenant un accès "utilisateur" en ligne de commande (un "shell"), et le second un accès "administrateur" ("root"). Pour cette épreuve là, les Mac se sont révélés inviolables (l'histoire ne dit pas si le pare-feu personnel de MacOSX était activé ou non. Il ne l'est en tout cas pas par défaut.).

Peut-être afin de pousser un peu plus les hackers dans leurs derniers retranchements (et au passage, de simuler un vecteur d'attaque très courant !), les organisateurs ont alors décidés que les participants avaient la possibilité d'envoyer par email des liens Internet qui seraient transmis aux Mac. En clair, il était possible de "faire cliquer" sur un lien puis de "faire visiter" une page web de leur choix aux machines. L'attaque pouvait donc être menée au niveau du lien (malformé, par exemple) ou de la page web à l'arrivée (piégée).

C'est cette seconde option - au demeurant la plus inquiétante pour les utilisateurs - qui a été choisie par le pirate vainqueur du concours. Aucun détail n'a filtré sur la nature exacte de la vulnérabilité. Selon la rumeur - à prendre avec précaution - elle serait liée à la fonctionnalité "d'Input Managers" de Mac OS X (des librairies qu'il suffit de déposer sur le système et qui permettent d'intercepter toutes les entrées du programme auquel ils se rattachent afin de les modifier avant de les lui renvoyer) Voir notre mise à jour du 24 avril pour le détail de cette faille.
Toujours est-il qu'il s'agit donc d'une vulnérabilité de type 0-Day (non corrigée, donc) pour MacOS X, accessible à la simple visite d'une page web piégée. L'attaque n'aurait pas fait "crasher" le navigateur Safari et serait donc en outre silencieuse.

La vulnérabilité ne sera pas révélée au public. C'est la société 3Com, via sa division Tipping Point (rachetée à la fin 2004) qui s'occupera de contacter Apple. C'est 3Com qui avait offert le prix de 10.000 dollars.
Pour l'heure, il n'y a pas de correctif à cette vulnérabilité. Lorsqu'elle a été annoncée, le 20 avril dernier, Apple venait tout juste de publier un méga-correctif de sécurité de plus d'une vingtaine de rustines. L'une de ces vulnérabilités concernait déjà le navigateur Safari et l'exécution de code, mais cette fois-ci via la librairie libinfo.

[Mise à jour du 24/04/07]
Nous en savons désormais plus sur cette vulnérabilité, grâce à l'interview d'un responsable des incidents de sécurité chez Tipping Point, publiée par le site InfoWorld. La faille toucherait aussi bien Safari que Firefox sous Mac (adieu, donc, l'option de changer de navigateur en attendant un correctif...). Mais surtout, elle concernerait aussi Windows lorsque Quick Time est installé !
D'après InfoWorld en effet, la vulnérabilité se situerait dans une interaction malheureuse entre Java et Quick Time, des composants qui ne sont pas exclusifs au Mac (rien à voir avec la rumeur d'exploitation des Input Managers comme nous l'indiquions dans la première version de cet article).
L'absence de correctif, en revanche, est toujours de mise : Apple n'aurait pour l'heure répondu que par un courrier-type...

Plus d'informations :

• L'annonce (particulièrement brève !) du piratage, sur le site de la convention de sécurité (en anglais)