De nombreux utilisateurs de dispositifs macOS pensent encore qu\u2019ils n\u2019ont pas besoin de protection. Pire encore, les administrateurs syst\u00e8me des entreprises qui fournissent des machines Apple \u00e0 leurs employ\u00e9s pensent la m\u00eame chose.<\/p>\n
Lors de la conf\u00e9rence Black Hat USA 2020<\/a>, le chercheur Patrick Wardle a essay\u00e9 de rappeler \u00e0 l\u2019audience cette fausse id\u00e9e en pr\u00e9sentant son analyse d\u2019un malware pour macOS et en construisant une cha\u00eene d\u2019exploits pour prendre le contr\u00f4le de l\u2019ordinateur Apple.<\/p>\n Une des m\u00e9thodes les plus couramment utilis\u00e9es pour attaquer les ordinateurs sous macOS consiste \u00e0 utiliser des documents avec des macros malveillantes, c\u2019est-\u00e0-dire via las applications Microsoft Office. En effet, m\u00eame si Apple dispose de ses propres applications de productivit\u00e9, de nombreux utilisateurs pr\u00e9f\u00e8rent utiliser Microsoft Office. Certains le font par habitude, d\u2019autres par souci de compatibilit\u00e9 avec les documents g\u00e9n\u00e9r\u00e9s par leurs coll\u00e8gues.<\/p>\n \u00c9videmment, tout le monde conna\u00eet depuis longtemps la menace potentielle que repr\u00e9sentent les documents avec des macros. Par cons\u00e9quent, Microsoft et Apple ont mis en place des m\u00e9canismes pour prot\u00e9ger l\u2019utilisateur.<\/p>\n Microsoft avertit l\u2019utilisateur lorsqu\u2019il ouvre un document qui contient une macro. De plus, si l\u2019utilisateur d\u00e9cide tout de m\u00eame de lancer la macro, le code s\u2019ex\u00e9cute dans une sandbox ce qui, selon les d\u00e9veloppeurs de Microsoft, emp\u00eache le code d\u2019avoir acc\u00e8s aux fichiers de l\u2019utilisateur et de nuire au syst\u00e8me.<\/p>\n Quant \u00e0 Apple, l\u2019entreprise a ajout\u00e9 plusieurs nouvelles fonctions de s\u00e9curit\u00e9 \u00e0 la derni\u00e8re version de son syst\u00e8me d\u2019exploitation, macOS Catalina. On y trouve notamment la mise en quarantaine de fichiers et un processus de \u00a0\u00bb\u00a0notarisation\u00a0\u00ab\u00a0, une technologie qui emp\u00eache le lancement de fichiers ex\u00e9cutables provenant de sources externes.<\/p>\n En r\u00e9sum\u00e9, l\u2019association de ces technologies devrait \u00eatre suffisante pour emp\u00eacher les macros malveillantes de causer des d\u00e9g\u00e2ts. En th\u00e9orie, tout semble assez bien prot\u00e9g\u00e9.<\/p>\n\n Pourtant, en pratique, de nombreux m\u00e9canismes de s\u00e9curit\u00e9 sont mis en place de fa\u00e7on assez probl\u00e9matique. D\u2019ailleurs, les chercheurs (ou les cybercriminels) peuvent \u00e9ventuellement trouver des m\u00e9thodes qui leur permettent de les contourner. Wardle a illustr\u00e9 son discours en utilisant une cha\u00eene d\u2019exploits.<\/p>\n Prenons par exemple le syst\u00e8me qui avertit l\u2019utilisateur lorsqu\u2019il d\u00e9tecte une macro dans un document. Dans la plupart des cas, il fonctionne comme pr\u00e9vu, mais il est aussi possible de cr\u00e9er un document dans lequel les macros se lancent automatiquement et sans que l\u2019utilisateur n\u2019en soit averti, m\u00eame si les macros ont \u00e9t\u00e9 d\u00e9sactiv\u00e9es dans les param\u00e8tres.<\/p>\n Pour ce faire, on peut utiliser le format de fichier SYLK<\/a> (SLK). Ce format, qui utilise le langage macro XLM, a \u00e9t\u00e9 d\u00e9velopp\u00e9 dans les ann\u00e9es 80 et a ensuite \u00e9t\u00e9 mis \u00e0 jour en 1986. Pourtant, les applications Microsoft, comme Excel, supportent encore SYLK pour des raisons de compatibilit\u00e9 r\u00e9troactive. Cette vuln\u00e9rabilit\u00e9 n\u2019est pas nouvelle et a \u00e9t\u00e9 d\u00e9crite en d\u00e9tail<\/a> en 2019.<\/p>\n Comme nous l\u2019avons compris, un cybercriminel peut lancer une macro sans qu\u2019elle ne soit d\u00e9tect\u00e9e. Pourtant, le code s\u2019ex\u00e9cute toujours dans la sandbox isol\u00e9e de Microsoft Office. Comment un pirate informatique peut-il tout de m\u00eame attaquer l\u2019ordinateur\u00a0? Il s\u2019av\u00e8re qu\u2019on peut facilement s\u2019\u00e9chapper de la sandbox de Microsoft sous Mac.<\/p>\n Il est vrai qu\u2019il est impossible de modifier les fichiers d\u00e9j\u00e0 stock\u00e9s sur l\u2019ordinateur et dans la sandbox. En revanche, vous pouvez les cr\u00e9er<\/em>. Cet exploit a d\u00e9j\u00e0 \u00e9t\u00e9 utilis\u00e9 pour s\u2019\u00e9chapper de la sandbox et il semblerait que Microsoft ait publi\u00e9 une mise \u00e0 jour pour corriger la vuln\u00e9rabilit\u00e9. Pourtant, comme le montre une analyse minutieuse du patch, le probl\u00e8me n\u2019a pas vraiment \u00e9t\u00e9 r\u00e9solu. La correction s\u2019en prend aux sympt\u00f4mes et bloque la cr\u00e9ation de fichiers \u00e0 partir d\u2019endroits que les d\u00e9veloppeurs consid\u00e8rent comme dangereux, comme le dossier LaunchAgents<\/em>, qui est l\u2019endroit o\u00f9 sont conserv\u00e9s les scripts automatiquement lanc\u00e9s apr\u00e8s un red\u00e9marrage.<\/p>\n Qui a dit que Microsoft avait tenu compte de tous les \u00a0\u00bb emplacements dangereux \u00a0\u00bb lorsque l\u2019entreprise a cr\u00e9\u00e9 le patch ? En l\u2019occurrence, le script \u00e9crit dans Python et lanc\u00e9 depuis un document Office, et donc ex\u00e9cut\u00e9 dans une sandbox, pouvait \u00eatre utilis\u00e9 pour cr\u00e9er un objet connu comme \u00ab\u00a0Ouverture\u00a0\u00bb (Login Item<\/em>). Un objet avec ce nom se lance automatiquement lorsque l\u2019utilisateur ouvre une session. Le syst\u00e8me lance l\u2019objet pour qu\u2019il soit ex\u00e9cut\u00e9 en dehors<\/em> de la sandbox Office et d\u00e9joue les restrictions de s\u00e9curit\u00e9 de Microsoft.<\/p>\n Nous savons d\u00e9sormais comment ex\u00e9cuter une macro en toute discr\u00e9tion et cr\u00e9er un objet d\u2019ouverture. \u00c9videmment, les m\u00e9canismes de s\u00e9curit\u00e9 de macOS emp\u00eachent tout de m\u00eame le lancement de la porte d\u00e9rob\u00e9e, consid\u00e9r\u00e9e comme non fiable comme elle a \u00e9t\u00e9 cr\u00e9\u00e9e par un processus suspect au sein de la sandbox. Tout est clair\u00a0?<\/p>\n D\u2019une part, oui. Les m\u00e9canismes de s\u00e9curit\u00e9 Apple bloquent bien l\u2019ex\u00e9cution du code obtenu de cette fa\u00e7on. D\u2019autre part, il y a une solution. Si vous vous glissez dans une archive ZIP en tant qu\u2019ouverture, alors le syst\u00e8me va automatiquement ouvrir le fichier lorsque vous vous connecterez au syst\u00e8me.<\/p>\n Les cybercriminels n\u2019ont plus qu\u2019\u00e0 choisir le bon emplacement pour ouvrir le fichier. Par exemple, l\u2019archive peut \u00eatre mise dans le m\u00eame r\u00e9pertoire que celui des biblioth\u00e8ques de l\u2019utilisateur, juste un cran au-dessus de l\u2019endroit o\u00f9 les objets de type Launch Agents<\/em> sont normalement stock\u00e9s (ceux que Microsoft consid\u00e8re justement comme dangereux). L\u2019archive peut comprendre un r\u00e9pertoire LaunchAgents<\/em> avec le script Launch Agent<\/em>.<\/p>\n Une fois ouvert, le script est plac\u00e9 dans le dossier LaunchAgents<\/em> pour s\u2019ex\u00e9cuter au d\u00e9marrage. Comme il a \u00e9t\u00e9 cr\u00e9\u00e9 par un programme de confiance (archive) et ne pr\u00e9sente aucun attribut de quarantaine, il peut \u00eatre utilis\u00e9 pour lancer quelque chose de plus dangereux. Les m\u00e9canismes de s\u00e9curit\u00e9 ne pourront pas emp\u00eacher le lancement de ce fichier.<\/p>\n Par cons\u00e9quent, un cybercriminel peut lancer un m\u00e9canisme via la programmation Bash et les commandes shell pour obtenir un acc\u00e8s \u00e0 distance (et donc un shell invers\u00e9\u00a0). Ce processus Bash peut \u00eatre utilis\u00e9 pour t\u00e9l\u00e9charger des fichiers, qui n\u2019auront pas non plus de caract\u00e9ristiques justifiant la quarantaine, ce qui permet au pirate informatique de t\u00e9l\u00e9charger d\u2019authentiques codes malveillants et de les ex\u00e9cuter sans restriction.<\/p>\n En r\u00e9sum\u00e9\u00a0:<\/p>\n Bien s\u00fbr, le chercheur a fait part de ses d\u00e9couvertes \u00e0 Apple et Windows, et les deux entreprises ont discr\u00e8tement corrig\u00e9 le probl\u00e8me sans vraiment en parler et sans avoir attribu\u00e9 d\u2019identifiant CVE officiel aux vuln\u00e9rabilit\u00e9s. La situation laisse entendre qu\u2019en \u00e9tudiant de pr\u00e8s les m\u00e9canismes de s\u00e9curit\u00e9, il n\u2019est pas impossible de trouver d\u2019autres m\u00e9thodes qui pourraient les d\u00e9jouer.<\/p>\n Dans le pass\u00e9, macOS \u00e9tait, \u00e0 juste titre, consid\u00e9r\u00e9 comme s\u00fbr mais il ne s\u2019agissait pas vraiment de m\u00e9canismes de s\u00e9curit\u00e9 avanc\u00e9s\u00a0; en g\u00e9n\u00e9ral, les cybercriminels ne s\u2019y int\u00e9ressaient pas. Pourtant, les ordinateurs Apple sont devenus beaucoup plus populaires, y compris au sein des entreprises, et les attaques qui prennent macOS pour cible sont devenues beaucoup plus int\u00e9ressantes pour les pirates informatiques.<\/p>\n Pour vous prot\u00e9ger, vous devez avoir votre syst\u00e8me d\u2019exploitation et tous les logiciels install\u00e9s \u00e0 jour, et utiliser des solutions de s\u00e9curit\u00e9 qui peuvent d\u00e9tecter et emp\u00eacher les activit\u00e9s suspectes. Par exemple, notre gamme de produits de s\u00e9curit\u00e9 pour les particuliers<\/a> <\/b>et les entreprises<\/a>\u00a0inclut des versions pour macOS.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Le chercheur Patrick Wardle a montr\u00e9 comment une cha\u00eene d\u2019exploits peut \u00eatre utilis\u00e9e pour attaquer macOS Catalina.<\/p>\n","protected":false},"author":700,"featured_media":15557,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,686,3151],"tags":[28,813,3980,599,204,2857],"class_list":{"0":"post-15556","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"category-smb","11":"tag-attaques","12":"tag-black-hat","13":"tag-black-hat-2020","14":"tag-macos","15":"tag-menaces","16":"tag-sandbox"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/black-hat-macos-macros-attack\/15556\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/black-hat-macos-macros-attack\/21731\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/black-hat-macos-macros-attack\/17195\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/black-hat-macos-macros-attack\/8539\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/black-hat-macos-macros-attack\/23076\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/black-hat-macos-macros-attack\/21268\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/black-hat-macos-macros-attack\/19996\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/black-hat-macos-macros-attack\/23733\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/black-hat-macos-macros-attack\/22675\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/black-hat-macos-macros-attack\/28979\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/black-hat-macos-macros-attack\/8738\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/black-hat-macos-macros-attack\/36855\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/black-hat-macos-macros-attack\/15976\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/black-hat-macos-macros-attack\/13915\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/black-hat-macos-macros-attack\/25054\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/black-hat-macos-macros-attack\/11929\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/black-hat-macos-macros-attack\/29103\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/black-hat-macos-macros-attack\/26003\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/black-hat-macos-macros-attack\/22785\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/black-hat-macos-macros-attack\/28022\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/black-hat-macos-macros-attack\/27852\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/black-hat\/","name":"Black Hat"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15556"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15556\/revisions"}],"predecessor-version":[{"id":15613,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15556\/revisions\/15613"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15557"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Microsoft, macros et Macs<\/h2>\n
Une cha\u00eene d\u2019exploits extrait la macro de la sandbox<\/h2>\n
1. Contourner le m\u00e9canisme qui d\u00e9sactive les macros<\/h3>\n
2. S\u2019\u00e9chapper de la sandbox<\/h3>\n
3. Contourner les m\u00e9canismes de s\u00e9curit\u00e9 Apple<\/h3>\n
\n
Comment vous prot\u00e9ger des macros malveillantes sous macOS<\/h2>\n