Une vulnérabilité dans le fichier d'installation de Zoom vous permet d'accéder à la racine du système d'exploitation macOS

Un chercheur en sécurité a découvert un moyen pour un attaquant de tirer parti de la version macOS de Zoom pour accéder à l'ensemble du système d'exploitation.

Nov 23, 2022 - 10:57
 0
Une vulnérabilité dans le fichier d'installation de Zoom vous permet d'accéder à la racine du système d'exploitation macOS

Un chercheur en sécurité a découvert un moyen pour un attaquant de tirer parti de la version macOS de Zoom pour accéder à l'ensemble du système d'exploitation.

Les détails de la vulnérabilité ont été révélés dans une présentation du spécialiste de la sécurité Mac Patrick Wardle lors de la conférence de piratage Def Con à Las Vegas vendredi.

Certains des bogues impliqués ont déjà été corrigés par Zoom, mais le chercheur a également fourni une vulnérabilité non corrigée qui affecte toujours les systèmes.

L'exploit fonctionne en ciblant le programme d'installation de Zoom, qui doit s'exécuter avec des autorisations utilisateur spéciales afin d'installer ou de supprimer l'application Zoom principale d'un ordinateur.

Lorsque Zoom publiait une mise à jour, la fonction de mise à jour installait le nouveau package après avoir vérifié qu'il avait été installé de manière cryptographique par Zoom. Mais un bogue dans la façon dont la méthode d'analyse est implémentée signifie que donner au programme de mise à jour n'importe quel fichier portant le même nom que le certificat de signature Zoom sera suffisant pour réussir le test - afin qu'un attaquant puisse substituer n'importe quel type de logiciel malveillant et l'exécuter avec un haut- mise à jour des privilèges.

Patrick Wardle est le fondateur de la fondation Objective-See, une organisation à but non lucratif qui crée des outils de sécurité open source pour macOS.

Auparavant, lors de la conférence sur la cybersécurité Black Hat qui s'est tenue la même semaine que Def Con, Wardle a détaillé l'utilisation non autorisée d'algorithmes extraits de son logiciel de sécurité open source par des entreprises à but lucratif.

Suite aux protocoles de divulgation responsable, Patrick Wardle a informé Zoom de la vulnérabilité en décembre de l'année dernière. À sa grande frustration, il dit que le correctif initial de Zoom contenait un autre bogue qui signifiait que la vulnérabilité était encore exploitable d'une manière légèrement détournée, il a donc exposé ce deuxième bogue à Zoom et a attendu huit mois avant de publier la recherche.

Quelques semaines avant l'événement Def Con, Patrick Wardle a déclaré que Zoom avait publié un correctif pour corriger les bogues qu'il avait initialement détectés. Mais après une analyse plus approfondie, un autre petit bogue signifiait que le bogue était toujours exploitable.

Dans la nouvelle version du programme d'installation de la mise à jour, le package à installer est d'abord déplacé vers un répertoire appartenant à l'utilisateur « root ». Cela signifie généralement qu'aucun utilisateur sans autorisation root ne peut ajouter, supprimer ou modifier des fichiers dans ce répertoire. Mais en raison des subtilités des systèmes Unix (dont macOS fait partie), lorsqu'un fichier existant est déplacé d'un autre emplacement vers le répertoire racine, il conserve les mêmes autorisations de lecture et d'écriture qu'il avait auparavant. Par conséquent, dans ce cas, il peut toujours être modifié par un utilisateur normal. Comme il peut être modifié, l'utilisateur malintentionné peut toujours remplacer le contenu de ce fichier par un fichier de son choix et l'utiliser pour devenir root.