Les chercheurs en sécurité de Microsoft ont découvert une vulnérabilité non pas dans Windows, mais bien sur macOS, le système d'exploitation utilisé par les ordinateurs d'Apple.

La faille, nommée Migraine et répertoriée sous le nom de CVE-2023-32369, permet aux attaquants disposant de privilèges root de contourner d'importantes mesures de sécurité et d'accéder aux données privées d'une victime. La vulnérabilité a été signalée à Apple par l'équipe de Microsoft, et Apple a depuis publié des mises à jour de sécurité pour résoudre le problème. Ces mises à jour, publiées le 18 mai, sont macOS Ventura 13.4, macOS Monterey 12.6.6 et macOS Big Sur 11.7.7. Ce n’est d’ailleurs pas la première fois qu’une telle faille est signalée par Microsoft.

Le mécanisme de sécurité en question est appelé System Integrity Protection (SIP), ou “sans racine”. Il empêche les logiciels potentiellement dangereux de modifier des fichiers et des dossiers spécifiques en imposant des restrictions au compte utilisateur root et à ses capacités dans les zones protégées du système d'exploitation.

Lire également – Le terrible ransomware LockBit cible désormais les Mac d’Apple, une première

macOS est moins sécurisé qu’on peut le penser

Le SIP garantit que seuls les processus signés par Apple ou possédant des droits spéciaux peuvent apporter des modifications aux composants protégés de macOS. La désactivation de SIP nécessite de redémarrer le système et de démarrer à partir de macOS Recovery, ce qui ne peut être fait qu'avec un accès physique à un appareil compromis.

Cependant, les chercheurs de Microsoft ont découvert que les attaquants disposant de droits d'accès peuvent contourner le SIP en exploitant l'utilitaire macOS Migration Assistant. En utilisant AppleScript pour automatiser le processus de migration et en ajoutant une charge utile malveillante à la liste des exclusions de SIP, les attaquants peuvent lancer leur code sans redémarrer le système ou démarrer à partir de macOS Recovery.

Le contournement de SIP présente des risques importants, car il permet aux codes malveillants d'avoir des impacts étendus, notamment en créant des logiciels malveillants qui ne peuvent pas être facilement supprimés. Il élargit également la surface d'attaque, permettant potentiellement aux attaquants d'altérer l'intégrité du système, d'exécuter un code de noyau arbitraire et d'installer des rootkits pour cacher des fichiers malveillants.

En outre, le contournement du protocole SIP permet également de contourner les politiques de transparence, de consentement et de contrôle (TCC), qui protègent les données des utilisateurs. Les attaquants peuvent remplacer les bases de données TCC et obtenir un accès illimité aux informations privées de la victime.