Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
Les Analyses les plus Populaires



Cybermenaces financières en 2013. 2e partie : programmes malveillants



BitGuard : un système de recherche forcée



Cyber-menaces financières en 2013. 1ère partie : phishing



Courrier indésirable en février 2014



Bulletin Kaspersky Lab – prévisions 2014
 
 

  Page d'accueil / Analyses

Vulnérabilités sous Mac OS X en 2005 - 2006

24.07.2006   |   comment

Claudiu Dumitru
Expert Antivirus, Kaspersky Lab Roumanie

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroquerie, botnet, spams, phishing…) publie une nouvelle étude consacrée aux vulnérabilités découvertes dans Mac OS X au cours du premier semestre 2006. Il établit une comparaison entre les vulnérabilités détectées en 2005 et celles identifiées au cours du premier semestre 2006. Ce rapport dresse un panorama de l’évolution des menaces qui planent sur cette plate-forme de plus en plus populaire.

Introduction

De récents rapports sur la sécurité des Macs ont déclenché de vives discussions parmi les professionnels de la sécurité informatique. Certains manifestent leur préoccupation face à l’augmentation du nombre de vulnérabilités détectées dans Mac OS X et sont accusés de catastrophisme. Les experts qui ne partagent pas cet avis sont accusés de manquer de bon sens. Cet article examine plusieurs aspects de l’évolution récente des menaces sur Mac OS X afin de permettre au lecteur de comprendre le débat. Les Macs sont-ils vraiment plus sûrs et combien de temps vont-ils le rester ?

Les ordinateurs tournant sous Mac OS X sont, dans leur configuration initiale, considérés plus sûrs que les ordinateurs tournant sous d’autres plates-formes. Le modèle de sécurité Unix, adopté par Mac OS X, est configuré par défaut afin de protéger le système contre les menaces communes visant les autres plates-formes. On peut affirmer que Mac OS X a été, dès l’origine, développé avec la sécurité en tête. Cependant bien que cette démarche ait produit moins de vulnérabilités, il serait inconscient de penser que cette plate-forme ne présente aucun risque. A l’instar de toute autre plate-forme, Mac OS X présente des vulnérabilités au niveau des logiciels. De telles vulnérabilités attirent les individus malintentionnés, surtout lorsque les utilisateurs n’estiment pas qu’il est nécessaire de se protéger contre les menaces éventuelles.

Un des aspects intéressants des vulnérabilités identifiées se situe au niveau des composants où elles se trouvent. Ainsi, le nombre de vulnérabilités dévoilées dans des composants pouvant être exploités lors d’attaques à distance, a augmenté en comparaison à la même période de l’année dernière. Ceci démontre clairement que les vecteurs d’attaque potentiels font l’objet d’une attention croissante.

Statistiques

Figure 1: comparaison du nombre de vulnérabilités dans MacOS X et les logiciels associés ; Période entre le premier semestre (janvier à mai) 2005  et le premier semestre 2006 .

Prenons par exemple le nombre de vulnérabilités identifiées dans le noyau du système d’exploitation et dans les composants associés : il est en diminution par rapport à 2005. Par contre, le nombre de vulnérabilités touchant le navigateur Safari et le client de messagerie Mail, pouvant être utilisés pour mener des attaques via Internet, a augmenté. Il en va de même pour QuickTime qui fut un sujet très prisé pour les spécialistes de la sécurité dans la première moitié de 2006.

Le graphique ci-dessus montre également un certain nombre de vulnérabilités dans des logiciels tiers qui tournent sous Mac OS X. Il s’agit des applications installées par défaut avec le système d’exploitation mais qui ne sont pas propres à Mac OS X. Ainsi, de nombreuses vulnérabilités ont été identifiées au cours de cette période dans Java VM de Sun et ces vulnérabilités concernent tous les systèmes d’exploitation capables d’exécuter Sun Java et non pas Mac OS X uniquement.

Il est intéressant de constater que le nombre de vulnérabilités essentielles dans le noyau de Mac OS X (Mach) et les bibliothèques/composants associés est en réduction par rapport à 2005. Il n’empêche qu’un certain nombre de vulnérabilités critiques ont été identifiées. La plus connue fut probablement l’exploit « passwd » signalé le 3 février 2006. Il fut utilisé pour pénétrer dans le système lors du concours « rm-my-mac ».

Programme malveillant pour Mac

Les programmes malveillants qui s’en prennent à Mac OS X sont assez rares.

Quelle ne fut pas la surprise de la communauté Mac d’apprendre l’existence, le 13 février 2006, du premier ver pour Mac OS X baptisé OSX/Leap.A. Leap est un ver pour messagerie instantanée capable d’infecter également des applications Mac OS X. Toutefois, en raison d’un bogue dans le code du virus, les programmes infectés ne pourront plus être exécutés.

Le ver fut repéré pour le première fois au soir du 13 février 2006 dans les forums du site MacRumors (http://forums.macrumors.com/). Le message original disait « Alleged screenshots of OS 10.5 Leopard » (captures d’écran de OS 10.5 Leopard ), une tentative évidente de pousser l’utilisateur insouciant à exécuter le code malicieux.

Une fois exécuté le ver se propage via « iChat », le client de messagerie instantanée d’Apple. La pénétration du système peut s’opérer également lors du téléchargement et de l’exécution directe du code du ver ou lors de l’exécution d’une application infectée depuis un emplacement distant. Dans la mesure où le ver n’est pas capable d’infecter le système automatiquement, il est parfois présenté comme un « cheval de Troie », mais cela n’est pas tout à fait exact : un cheval de Troie est incapable de se reproduire, ce qui n’est pas le cas de « Leap.a ».

Le ver se propage sous la forme d’une archive TAR.GZ appelée « latestpics.tgz ». Si l’utilisateur décompacte l’archive (soit à l’aide de l’outil de ligne de commande « tar » ou en cliquant deux fois dans le Finder), il découvre ce qui semble être un fichier JPEG :

Il s’agit en réalité d’un fichier exécutable pour PowerPc, comme l’indique le contenu de la fenêtre Lire les informations :

L’exécutable « latestpics » est une application de ligne de commande et c’est la raison pour laquelle il ouvre une fenêtre du Terminal dès qu’il est exécuté.

A ce stade, certains témoignages indiquent que si l’exécution est réalisée par un utilisateur normal, le système d’exploitation demande des privilèges d’administrateur. Nous n’avons pas observé ce scénario dans le cadre de nos tests. L’exécution du ver s’est produite comme si le compte jouissait des privilèges d’administration. Toutefois, le ver ne pourra infecter que les applications pour lesquelles l’utilisateur actuel jouit de privilèges d’écriture.

Ensuite, le ver extrait un module externe InputManager appelé « apphook » de son corps. Si l’utilisateur est administrateur, ce module est copié dans le dossier « Bibliothèque/InputManagers ». Si l’utilisateur n’est pas un administrateur, le module est copié dans le dossier de l’utilisateur « ~/Bibliothèque/InputManagers ». La différence entre ces deux opérations est la suivante : les modules externes InputManagers du dossier « /Bibliothèque » de la racine seront chargés dans les applications exécutées par tous les utilisateurs tandis que dans le deuxième cas, il sera chargé uniquement dans les applications exécutées par l’utilisateur actuel.

Le module « apphook » est le composant du ver responsable de la réplication via la messagerie instantanée. Il tente de s’accrocher à certaines fonctions de iChat et il enverra une copie du ver aux contacts de l’utilisateur via « Contacts – Envoyer un fichier ».

Une fois que le module « apphook » aura été installé, le code principal du ver poursuivra l’infection des applications locales. Il recherche les applications les plus souvent utilisées à l’aide de « Spotlight » et tente de les infecter. La routine d’infection est élémentaire : Leap écrase l’exécutable principal avec son code tandis que le code original de l’application est enregistré dans une fourche de ressource.

Lorsqu’une application infectée est exécutée, le code principal du ver est exécuté également et il tente de se propager de la manière décrite ci-dessus. Leap tentera également d’exécuter l’application originale, mais ces tentatives échoueront en raison d’un bogue dans le code du ver. Les applications infectées ne fonctionnent plus, ce qui est un signe évident de l’infection.

Enfin, il semblerait que l’auteur du ver avait l’intention d’ajouter une fonction de réplication par courrier électronique. Cette fonction n’était pas prête lorsque le code a fait son apparition dans le forum MacRumors.

A part la corruption des applications infectées (un effet accidentel), le code du ver ne semble présenter aucune autre charge virale malveillante.

Le 18 février 2006, un nouveau ver Mac OS X vit le jour. Inqtana se propage via le Bluetooth, en envoyant une requête OBEX vers la machine de la victime potentielle. Dès que l’utilisateur accepte la requête, le ver exploite une vulnérabilité Bluetooth File and Object Exchange Directory Traversal afin d’accéder aux emplacements situés à l’extérieur du chemin Bluetooth File and Object Exchange service path.

Le ver place deux fichiers appelés respectivement com.openbundle.plist et com.pwned.plist dans le dossier LaunchAgents afin de s’assurer qu’ils soient exécutés automatiquement au redémarrage de l’ordinateur. w0rm-support.tgz, qui contient les composants du ver, est placés dans /Utilisateurs/.

Une fois que le système d’exploitation a été redémarré, com.openbundle.plist décompacte les composants du ver et com.pwned.plist exécute le fichier binaire principal du ver. Inqtana essaie en suite de se répliquer en recherchant tout appareil dont le mode Bluetooth est activé. Il enverra alors une copie à tous les appareils qui prennent en charge les requêtes OBEX.

On apprit par la suite qu’Inqtana était en fait une démonstration de faisabilité écrite par Kevin Finisterre, un chercheur en sécurité informatique. Le 21 février, deux exploits du jour zéro pour Mac OS X ont vu le jour : Exploit.OSX.Safari.a fut découvert par Michael Lehn et Exploit.OSX.ScriptEx.a, par Kevin Finisterre (l’auteur d’Inqtana). Ces deux exploits ont été largement débattus dans la presse.

Exploit.OSX.Safari prend pour cible Safari, le navigateur d’Apple. Grâce à une certaine fonction de Safari, il est possible de créer certains types de fichiers ZIP qui, une fois téléchargés via Internet, entraîneront l’exécution du code. Cette vulnérabilité a été supprimée avec la mise à jour Security Update 2006-001 diffusée par Apple.

Exploit.OSX.ScriptEx.a est un exploit pour une vulnérabilité du client de messagerie Mail pour Mac OS X. Il est déclenché par l’envoi d’une pièce jointe spéciale par courrier. Cette vulnérabilité est en réalité un débordement du tampon qui peut être provoqué lorsque le composant Real Name du fichier MIME Encapsulated Macintosh est analysé. Le choix minutieux de la taille de Real Nam et du contenu peut entraîner l’exécution du code arbitraire qui peut servir à l’installation d’un cheval de Troie ou d’un autre programme malveillant sur l’ordinateur de la victime. Le problème a été résolu avec la mise à jour Security Update 2006-002 diffusée par Apple.

Le 19 avril, Tom Ferris, chercheur en sécurité informatique, dévoile 6 vulnérabilités du « zéro day » qui permettent à un utilisateur malveillant distant, de planter ou de détourner l’ordinateur de la victime.

Conclusion

En règle générale, les logiciels malveillants ont fortement évolué au cours des deux dernières années. Avant, la majorité des auteurs de logiciels malveillants recherchaient leur quart d’heure de gloire. De nos jours, ils sont à la poursuite de gains financiers. Jusqu’à présent, la faible part de marché détenue par Apple a protégé les utilisateurs de Mac contre les auteurs malveillants. Toutefois, cela va changer étant donné la popularité croissante de la firme à la pomme. Une fois que la masse critique sera atteinte, un nombre plus important de programmes malveillants fera son apparition. Même si les programmes malveillants tels que IM-Worm.OSX.Leap.a et Worm.OSX.Inqtana.A ou les exploits Exploit.OSX.Safari.a et Exploit.OSX.Script-Ex n’étaient que des démonstrations de faisabilité, ils ont démontré que Mac OS X présente des failles et que celles-ci peuvent être exploitées pour compromettre le système.

Il reste à voir si le code de démonstration de faisabilité présenté dans cet étude sera exploité à l’avenir pour dégager des gains financiers. L’histoire quant à elle, nous montre que dès que des vulnérabilités ont été identifiées, les auteurs de programmes malveillants ne se font pas attendre.

Références :

  1. Liste des bulletins de sécurité pour MacOS X
  2. Rapport KL - “2005: *nix Malware Evolution”
  3. Description complète d’IM-Worm.OSX.Leap.a dans l’encyclopédie des virus de Kaspersky Lab
  4. Description complète de Worm.OSX.Inqtana. dans l’encyclopédie des virus de Kaspersky Lab
  5. Tom Ferris
  6. Michael Lehn
  7. Kevin Finisterre
  8. rm-my-mac competition
Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com