• Votre panier est vide.

  • LOGIN

Un format de fichier des années 80 activé par un piratage Mac furtif


Certains articles de veille peuvent faire l'objet de traduction automatique.


Macros Microsoft Office ont longtemps été un outil brut mais efficace entre les mains des pirates informatiques: incitez quelqu’un à ouvrir une pièce jointe et à cliquer sur « autoriser » pour activer les macros, et un simple document Word peut exécuter un script de commandes qui sert de première étape vers la prise en charge de leur dispositif. Bien que cette astuce macro soit de plus en plus utilisée pour cibler Microsoft Office sur macOS, un pirate informatique Mac a recherché une méthode plus furtive et plus fiable pour l’exploiter. Il en a trouvé un dans un format de fichier obscur, vieux de 30 ans.

Lors de la conférence sur la sécurité de Black Hat aujourd’hui, l’ancien hacker de la NSA Patrick Wardle prévoit de détailler cette technique, qui exploite une série de vulnérabilités dans Microsoft Office et macOS pour obtenir un accès complet au Mac cible. L’un de ces bogues concerne la façon dont Excel gère un certain type de fichier largement obsolète appelé lien symbolique. SYLK n’a pas été couramment utilisé depuis les années 1980, mais il a fourni un lien dans la chaîne qui contournait complètement les restrictions de sécurité de Microsoft Office sur les macros. Combinée à d’autres vulnérabilités dans macOS, la technique de Wardle – qu’Apple a corrigée après avoir alerté l’entreprise plus tôt cette année – aurait permis à un pirate de prendre le contrôle d’un ordinateur cible sans avertissement lorsque sa cible a simplement cliqué sur une pièce jointe malveillante.

«Le système est entièrement détenu et infecté», déclare Wardle, chercheur principal en sécurité au sein de la société de sécurité Apple Jamf et auteur du prochain L’art des logiciels malveillants Mac. « Et il n’y a aucun signe que l’attaque est en cours. »

Wardle dit qu’il est devenu curieux pour la première fois des attaques macro ciblées sur Mac vers 2017, lorsque les entreprises de sécurité ont commencé à avertir de leur utilisation contre les clients Apple plutôt que contre les victimes typiques de Windows. De plus en plus d’attaques macro ciblées sur Mac ont fait surface en 2018 et 2019, y compris la découverte par Kaspersky en 2019 que des pirates nord-coréens étaient utiliser apparemment des macros pour voler la crypto-monnaie aux utilisateurs Mac. Au fur et à mesure que les Mac sont devenus plus répandus sur le lieu de travail, la menace des attaques macro-basées a également augmenté.

« Nous constations l’intérêt des groupes de hackers. Alors je me suis demandé si les choses pourraient être pires? Est-ce quelque chose auquel nous devrions prêter plus d’attention, ou s’agit-il d’attaques boiteuses? » Dit Wardle. Il a donc décidé de voir s’il pouvait développer une attaque de macro ciblée sur Mac plus puissante, qui n’obligerait pas la victime à cliquer sur « autoriser » et qui ne se limiterait pas au soi-disant sandbox qui limite l’accès d’une application à le reste de l’ordinateur, l’empêchant de voler des fichiers ou d’installer des logiciels malveillants persistants. «Travailler à la NSA a corrompu mon esprit et l’a rempli d’idées perverses», dit Wardle. « Je voulais essentiellement proposer une attaque basée sur des macros que je ne serais pas gêné d’utiliser contre une cible. »

En octobre de l’année dernière, Wardle a vu que les chercheurs néerlandais Stan Hegt et Pieter Ceelen ont révélé un bug intrigant dans Microsoft Office. Excel n’a pas averti l’utilisateur avant d’exécuter une macro contenue dans un fichier au format de fichier SYLK, un type de fichier presque oublié mais avec lequel Microsoft Office avait maintenu la compatibilité. L’astuce a fonctionné par défaut dans une version 2011 de Microsoft Office, en contournant tout avertissement de macro. Mais cela fonctionnait aussi, ironiquement, dans les versions plus récentes lorsqu’un utilisateur ou un administrateur avait défini le programme sur son plus configuration sécurisée. Lorsqu’Excel était configuré pour désactiver toutes les macros sans préavis à l’utilisateur, il exécutait à la place les macros de fichiers SYLK automatiquement.

La vulnérabilité, explique Hegt, provient de l’utilisation par Microsoft d’un code entièrement différent pour gérer les anciens fichiers SYLK que le code utilisé pour gérer des formats de fichiers plus récents. «Il existe deux macro-moteurs différents dans un même produit, et c’est un point de départ très intéressant pour la recherche», déclare Hegt.

Les chercheurs néerlandais ont averti Microsoft de la vulnérabilité, mais la société n’a pas publié de correctif, en partie parce qu’un pirate informatique qui l’utilisait serait toujours bloqué dans le bac à sable de Microsoft Office. Mais il n’a fallu à Wardle que deux jours de travail, dit-il, pour enchaîner une série d’astuces pour sortir de la quarantaine de Microsoft Office et accéder au reste de l’ordinateur.

Voir aussi :

août 24, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)