Il y a trois mois, une vulnérabilité a été découverte dans la fonction Gatekeeper, censée protéger macOS des logiciels potentiellement dangereux. Les premières tentatives d'abus n'ont pas tardé à apparaître.
Cependant, l'expert en sécurité Filippo Cavallarin a découvert un problème avec la vérification de signature de l'application elle-même. En effet, le contrôle d'authenticité peut être complètement contourné d'une certaine manière.
Dans sa forme actuelle, Gatekeeper considère les disques externes et le stockage réseau comme des « emplacements sécurisés ». Cela signifie que n'importe quelle application sera autorisée à s'exécuter à ces emplacements sans vérifier à nouveau. De cette façon, l'utilisateur peut facilement être amené à monter sans le savoir un lecteur ou un stockage partagé. Tout ce qui se trouve dans ce dossier est alors facilement contourné par Gatekeeper.
En d’autres termes, une seule candidature signée peut rapidement ouvrir la voie à de nombreuses autres candidatures non signées. Cavallarin a consciencieusement signalé la faille de sécurité à Apple, puis a attendu 90 jours pour obtenir une réponse. Passé ce délai, il a le droit de publier l'erreur, ce qu'il a finalement fait. Personne de Cupertino n'a répondu à son initiative.
Les premières tentatives d'exploitation de la vulnérabilité conduisent à des fichiers DMG
Entre-temps, la société de sécurité Intego a découvert des tentatives visant à exploiter précisément cette vulnérabilité. À la fin de la semaine dernière, l'équipe chargée des logiciels malveillants a découvert une tentative de distribution du logiciel malveillant en utilisant la méthode décrite par Cavallarin.
Le bug initialement décrit utilisait un fichier ZIP. La nouvelle technique, quant à elle, tente sa chance avec un fichier image disque.
L'image disque était soit au format ISO 9660 avec une extension .dmg, soit directement au format .dmg d'Apple. Généralement, une image ISO utilise les extensions .iso, .cdr, mais pour macOS, .dmg (Apple Disk Image) est beaucoup plus courante. Ce n'est pas la première fois qu'un malware tente d'utiliser ces fichiers, apparemment pour éviter les programmes anti-malware.
Intego a capturé un total de quatre échantillons différents capturés par VirusTotal le 6 juin. La différence entre les résultats individuels était de l’ordre de plusieurs heures, et ils étaient tous connectés par un chemin réseau au serveur NFS.
Logiciel publicitaire OSX/Surfbuyer déguisé en Adobe Flash Player
Les experts ont réussi à constater que les échantillons ressemblent étonnamment au logiciel publicitaire OSX/Surfbuyer. Il s’agit d’un logiciel malveillant publicitaire qui dérange les utilisateurs non seulement lorsqu’ils naviguent sur le Web.
Les fichiers étaient déguisés en programmes d'installation d'Adobe Flash Player. Il s’agit essentiellement de la manière la plus courante par laquelle les développeurs tentent de convaincre les utilisateurs d’installer des logiciels malveillants sur leur Mac. Le quatrième échantillon a été signé par le compte développeur Mastura Fenny (2PVD64XRF3), qui a été utilisé par le passé pour des centaines de faux installateurs Flash. Ils relèvent tous du logiciel publicitaire OSX/Surfbuyer.
Jusqu’à présent, les échantillons capturés n’ont fait que créer temporairement un fichier texte. Les applications étant liées dynamiquement dans les images disque, il était facile de modifier l'emplacement du serveur à tout moment. Et cela sans avoir à modifier le malware distribué. Il est donc probable que les créateurs, après tests, aient déjà programmé des applications « de production » contenant des malwares. Il n’était plus nécessaire de l’attraper par l’anti-malware VirusTotal.
Intego a signalé ce compte de développeur à Apple pour que son autorité de signature de certificat soit révoquée.
Pour plus de sécurité, il est conseillé aux utilisateurs d'installer des applications principalement à partir du Mac App Store et de réfléchir à leur origine lors de l'installation d'applications à partir de sources externes.
Petr Skuta 
Amaya Toman 
Daniel Hruska 