De nouvelles failles de sécurité touchent Gatekeeper, Réactions à la publication du 27/05/2019 |
Bienvenue invité ( Connexion | Inscription )
De nouvelles failles de sécurité touchent Gatekeeper, Réactions à la publication du 27/05/2019 |
27 May 2019, 05:22
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 351 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Des chercheurs en sécurité ont annoncé avoir découvert de nouvelles failles de sécurité permettant de contourner les protections de Gatekeeper. Pour rappel, ce système permet d'éviter l'installation de code non signé sous macOS.
Voici un exemple cité: Pour mieux comprendre le fonctionnement de cet exploit, considérons le scénario suivant: un attaquant crée un fichier zip contenant un lien symbolique vers un nœud final de montage automatique qu’il / elle contrôle (ex Documents -> /net/evil.com/Documents) et l’envoie à la victime. La victime télécharge l'archive malveillante, l'extrait et suit le lien symbolique. À présent, la victime se trouve dans un emplacement contrôlé par l'attaquant mais approuvé par Gatekeeper. Ainsi, tout exécutable contrôlé par l'attaquant peut être exécuté sans aucun avertissement. La façon dont le Finder est conçu (ex. cacher les extensions .app, cacher le chemin complet depuis la barre de titre) rend cette technique très efficace et difficile à repérer. Apple a été informé depuis le 22 février de ce problème, qui devait être réglé dans la dernière mise à jour macOS. Cela n'a pas été le cas en fin de compte. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
27 May 2019, 11:28
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 456 Inscrit : 9 Apr 2004 Membre no 17 402 |
Je passe sur Gatekeeper qui est hélas trop facile à berner.
----------------------- Restons constructifs: pour "sécuriser" un peu plus, il conviendrait: - D'afficher toutes les extensions de fichiers (dans les préférences du Finder) - De tester si une application est bien signée avant son premier lancement, à l'aide des deux commandes terminal suivantes: codesign -v -v (+faire glisser votre appli pour coller son chemin d'accès) spctl -v -a (+faire glisser votre appli pour coller son chemin d'accès) - Et de connaître la checksum du .dmg et/ou du .pkg (donnés par le développeur) afin de la comparer avec celle calculée (à l'aide d'une app gratuite) afin de s'assurer que l'installeur n'à pas été modifié par un tiers: Cheksum sur le Mac App Store -- Et côté développeur: signer l'application (pas simple quand on utilise autre chose que XCode) signer le .dmg signer le .pkg et fournir les checksums avant le téléchargement. Ce message a été modifié par ekami - 27 May 2019, 12:06. -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
27 May 2019, 13:04
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 627 Inscrit : 26 Jun 2010 Lieu : Paris Membre no 155 873 |
Je passe sur Gatekeeper qui est hélas trop facile à berner. ----------------------- Restons constructifs: pour "sécuriser" un peu plus, il conviendrait: - D'afficher toutes les extensions de fichiers (dans les préférences du Finder) - De tester si une application est bien signée avant son premier lancement, à l'aide des deux commandes terminal suivantes: codesign -v -v (+faire glisser votre appli pour coller son chemin d'accès) spctl -v -a (+faire glisser votre appli pour coller son chemin d'accès) - Et de connaître la checksum du .dmg et/ou du .pkg (donnés par le développeur) afin de la comparer avec celle calculée (à l'aide d'une app gratuite) afin de s'assurer que l'installeur n'à pas été modifié par un tiers: Cheksum sur le Mac App Store -- Et côté développeur: signer l'application (pas simple quand on utilise autre chose que XCode) signer le .dmg signer le .pkg et fournir les checksums avant le téléchargement. Je passe tous les applis (signées ou pas) par ça aussi : https://www.virustotal.com/#/home/upload On peut aussi verifier des urls. Pour les checksums, SHA-256 par exemple (dans le terminal) : shasum -a 256 <ton-fichier> Ce message a été modifié par vlady - 27 May 2019, 13:09. -------------------- Macbook 16" M1 Pro 32GB/1TB + Studio Display, Dell Precision 3640 i7-10700K/32GB, Fedora 36 Linux, Casque Sony WH-1000XM4, iPhone 6s 64GB
|
|
|
27 May 2019, 13:08
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 456 Inscrit : 9 Apr 2004 Membre no 17 402 |
Je passe tous les applis (signées ou pas) par ça aussi : https://www.virustotal.com/#/home/upload On peut aussi verifier des urls. Dommage que virustotal ne puisse pas scanner les documents de plus de 256 MB… -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
27 May 2019, 14:25
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 385 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Tout ça n'est que des emplâtres sur une jambe de bois, le problème étant maintenant bien plus profond, se rapprochant du fameux exemple qu'a donné Ken Thompson à la remise de son prix Turing, Reflections on Trusting Trust (PDF).
Le terme "reflections" est ici à double-sens pour qui a lu le texte et compris son horrifique moelle. Et de part mon parcours, sans aller jusqu'à gcc (quoique ça soit extrêmement facile, c'était juste inutile), j'ai utilisé cela de manière pratique, avec la commande ssh modifiée pour envoyer les infos quelque part loin loin, mais aussi pour se répliquer automatiquement sur les machines accédées (recompilation modifié), la cible infectant donc son réseau et indiquant ses points d'entrées (avec les mots-de-passe) pour éviter d'essayer de se logger sur un Honey Pot. On a maintenant le problème du "Supply Chain Poisoning" (empoisonnement de la chaîne d'approvisionnement), qui dans beaucoup de cas, peut-être la plupart, ne permet plus aux développeurs de garantir l'innocuité des logiciels produits, même signés de part en part... Échec et mat! PS: dans certains cas il est très facile d'injecter du code et de prendre le contrôle, comme avec WordPress, je m'attend que ça explose avec des gens qui vont s'apercevoir comment on peut hacker un nombre incroyable d'installations existantes avec des Admin suivant les procédures à la lettre (et surtout tout mis-à-jour )... Par exemple le site du 375ème anniversaire de Montréal est totalement exposé à ce type d'attaque, qui peut aisément être ciblée (donc invisible pour les autres et les chercheurs en sécurité) Ce message a été modifié par iAPX - 27 May 2019, 14:59. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
Nous sommes le : 4th May 2024 - 15:06 |