Chaque fois que vous éteignez votre Mac, une fenêtre contextuelle apparaît : “Êtes-vous sûr de vouloir éteindre votre ordinateur maintenant ?” Niché sous l’invite se trouve une autre option que la plupart d’entre nous négligent probablement : le choix de rouvrir les applications et les fenêtres que vous avez ouvertes maintenant lorsque votre machine est rallumée. Les chercheurs ont maintenant trouvé un moyen d’exploiter une vulnérabilité dans cette fonctionnalité “d’état enregistré” – et elle peut être utilisée pour briser les couches clés des protections de sécurité d’Apple.
La vulnérabilité, qui est susceptible d’être attaquée par injection de processus pour briser la sécurité de macOS, pourrait permettre à un attaquant de lire tous les fichiers sur un Mac ou de prendre le contrôle de la webcam, explique Thijs Alkemade, chercheur en sécurité à la société néerlandaise de cybersécurité Computest qui a trouvé la faille. « Il s’agit essentiellement d’une vulnérabilité qui pourrait être appliquée à trois endroits différents », dit-il.
Après avoir déployé l’attaque initiale contre la fonctionnalité d’état enregistré, Alkemade a pu se déplacer dans d’autres parties de l’écosystème Apple : échapper d’abord au bac à sable macOS, qui est conçu pour limiter les piratages réussis à une seule application, puis contourner la protection de l’intégrité du système (SIP ), une défense clé conçue pour empêcher le code autorisé d’accéder aux fichiers sensibles sur un Mac.
Alkemade, qui présente le travail à la conférence Black Hat à Las Vegas cette semaine, a découvert la vulnérabilité pour la première fois en décembre 2020 et a signalé le problème à Apple via son programme de primes de bogues. Il a reçu une “assez belle” récompense pour la recherche, dit-il, bien qu’il refuse de détailler combien. Depuis lors, Apple a publié deux mises à jour pour corriger la faille, d’abord en avril 2021 et à nouveau en octobre 2021.
Interrogé sur la faille, Apple a déclaré qu’il n’avait fait aucun commentaire avant la présentation d’Alkemade. Les deux mises à jour publiques de la société sur la vulnérabilité sont peu détaillées, mais elles indiquent que les problèmes pourraient permettre à des applications malveillantes de divulguer des informations utilisateur sensibles et d’augmenter les privilèges permettant à un attaquant de se déplacer dans un système.
Les changements d’Apple peuvent également être vus dans Xcode, l’espace de travail de développement de l’entreprise pour les créateurs d’applications, selon un article de blog décrivant l’attaque d’Alkemade. Le chercheur affirme que bien qu’Apple ait résolu le problème pour les Mac exécutant le système d’exploitation Monterey, qui a été publié en octobre 2021, les versions précédentes de macOS sont toujours vulnérables à l’attaque.
Il y a plusieurs étapes pour réussir le lancement de l’attaque, mais fondamentalement, elles reviennent à la vulnérabilité d’injection de processus initiale. Les attaques par injection de processus permettent aux pirates d’injecter du code dans un appareil et d’exécuter du code d’une manière différente de ce qui était prévu à l’origine.
Les attaques ne sont pas rares. « Il est assez souvent possible de trouver la vulnérabilité d’injection de processus dans une application spécifique », déclare Alkemade. “Mais en avoir un qui soit si universellement applicable est une trouvaille très rare”, dit-il.
La vulnérabilité trouvée par Alkemade se trouve dans un objet “sérialisé” dans le système d’état enregistré, qui enregistre les applications et les fenêtres que vous avez ouvertes lorsque vous éteignez un Mac. Ce système d’état enregistré peut également s’exécuter lorsqu’un Mac est en cours d’utilisation, dans un processus appelé App Nap.
