Intego annonce une nouvelle faille [Maj]
Intego nous annonce qu'une nouvelle faille de sécurité sur Mac OS X 10.4 et 10.5 a été découverte. Cette faille est lié au logiciel ARDAgent, qui permet normalement à un administrateur de prendre le contrôle de la machine avec le logiciel Apple Remote Desktop. Mais Intego aurait découvert la possibilité de faire exécuter par ARDAgent du code AppleScript en tant que root par n'importe quel utilisateur, qu'il soit administrateur ou non. Il est donc possible, par cet intermédiaire, de faire tout ce que root peut faire sans avoir le mot de passe administrateur de la machine.
Pour se prémunir d'une éventuelle attaque, qui consisterait à exécuter un logiciel malicieux exploitant cette faille sans avoir à saisir le mot de passe administrateur, il suffit d'activer la gestion à distance dans le panneau de contrôle Partage des préférences systèmes. Mais ce n'est pas une solution en soit puisque cela impose à la machine d'avoir ce service lancé même si on n'en a pas besoin.
L'autre solution, proposée par Intego, est bien entendu d'utiliser VirusBarrier X5 avec ses dernières définitions de virus.
Il est dommage qu'Intego ne rentre pas plus dans le détails sur l'utilisation de cette faille. Mais peut-être en serons-nous plus lorsqu'Apple aura rectifié le tir dans une prochaine mise à jour sécurité.
[Maj]
Grâce à SecureMac, nous en savons un peu plus sur cette faille. Le code permettant cet exploit a été tout d'abord repris par Slashdot après être apparu sur un forum. Un simple Applescript à exécuter sur la machine permet de lancer n'importe quelle commande en tant que root, sans mot de passe administrateur.
Puis, plus grave, un Trojan du nom de AppleScript.THT a été créé. Une fois exécuté par l'utilisateur (qu'il soit administrateur ou non), il s'installe tranquillement dans votre système et permet de prendre des captures avec l'iSight, d'enregistrer vos frappes claviers, d'exécuter n'importe quel code, d'envoyer les mots de passe de la machine etc.. Il est même capable de ne pas se faire détecter en désactivant l'enregistrement des messages systèmes et en ouvrant des ports dans votre firewall.
Le fichier à ne surtout pas lancer si vous le téléchargez quelque part porte le nom ASthtv05 ou AStht_v06. Ce trojan est détécté par MacScan dans l'étant actuel, mais peut très apparaître sous une autre forme qui ne sera plus détectée.
Avec ces informations, nous avons fait l'essai et une fois Remote Desktop désactivé, un simple code AppleScript peut devenir dévastateur ! C'est tellement simple qu'on se demande comment Apple a pu laisser une porte si grande ouverte... Heureusement, le code n'est pas capable de se répondre de lui-même car il nécessite l'action de l'utilisateur ou l'accès à un shell.
Si vous voulez expérimenter par vous-même, saisissez le code suivant dans l'éditeur de script :
La réponse sera : "root" si votre système est perméable.
Pour aller plus loin, nous avons essayé ceci :
Un fichier test appartenant à root est créé à la racine du disque dur et sur lequel nous n'avons aucun droit. Pour le supprimer, il faudra taper son mot de passe administrateur.
Le conseil à retenir, et qui est toujours le même, est donc de ne pas ouvrir n'importe quel fichier qui proviendrait d'une source non sûre, même "pour voir"...
Pour se prémunir d'une éventuelle attaque, qui consisterait à exécuter un logiciel malicieux exploitant cette faille sans avoir à saisir le mot de passe administrateur, il suffit d'activer la gestion à distance dans le panneau de contrôle Partage des préférences systèmes. Mais ce n'est pas une solution en soit puisque cela impose à la machine d'avoir ce service lancé même si on n'en a pas besoin.
L'autre solution, proposée par Intego, est bien entendu d'utiliser VirusBarrier X5 avec ses dernières définitions de virus.
Il est dommage qu'Intego ne rentre pas plus dans le détails sur l'utilisation de cette faille. Mais peut-être en serons-nous plus lorsqu'Apple aura rectifié le tir dans une prochaine mise à jour sécurité.
[Maj]
Grâce à SecureMac, nous en savons un peu plus sur cette faille. Le code permettant cet exploit a été tout d'abord repris par Slashdot après être apparu sur un forum. Un simple Applescript à exécuter sur la machine permet de lancer n'importe quelle commande en tant que root, sans mot de passe administrateur.
Puis, plus grave, un Trojan du nom de AppleScript.THT a été créé. Une fois exécuté par l'utilisateur (qu'il soit administrateur ou non), il s'installe tranquillement dans votre système et permet de prendre des captures avec l'iSight, d'enregistrer vos frappes claviers, d'exécuter n'importe quel code, d'envoyer les mots de passe de la machine etc.. Il est même capable de ne pas se faire détecter en désactivant l'enregistrement des messages systèmes et en ouvrant des ports dans votre firewall.
Le fichier à ne surtout pas lancer si vous le téléchargez quelque part porte le nom ASthtv05 ou AStht_v06. Ce trojan est détécté par MacScan dans l'étant actuel, mais peut très apparaître sous une autre forme qui ne sera plus détectée.
Avec ces informations, nous avons fait l'essai et une fois Remote Desktop désactivé, un simple code AppleScript peut devenir dévastateur ! C'est tellement simple qu'on se demande comment Apple a pu laisser une porte si grande ouverte... Heureusement, le code n'est pas capable de se répondre de lui-même car il nécessite l'action de l'utilisateur ou l'accès à un shell.
Si vous voulez expérimenter par vous-même, saisissez le code suivant dans l'éditeur de script :
tell application "ARDAgent" to do shell script "whoami"La réponse sera : "root" si votre système est perméable.
Pour aller plus loin, nous avons essayé ceci :
tell application "ARDAgent" to do shell script "touch /test;chmod 700 /test"Un fichier test appartenant à root est créé à la racine du disque dur et sur lequel nous n'avons aucun droit. Pour le supprimer, il faudra taper son mot de passe administrateur.
Le conseil à retenir, et qui est toujours le même, est donc de ne pas ouvrir n'importe quel fichier qui proviendrait d'une source non sûre, même "pour voir"...