Mac OS X : une faille critique et un troyen pour l'exploiter
Et des méthodes pour éviter de se faire avoir
Une faille très sérieuse a été trouvé par un lecteur du forum de MacShadows. Cette faille touche le composant ARD (Apple Remote Desktop pour la prise de contrôle à distance) et se trouve exploitable grâce au langage de script d'Apple Applescript. Par un script appelant l'application ARDagent.app, on peut avoir un accès au système en tant que root.Pour les utilisateurs de Mac il suffit de taper la ligne suivante dans l'éditeur de script :
- tell application "ARDAgent" to do shell script "whoami"
Il aura suffit de très peu de temps pour qu'on trouve sur les réseaux de P2P un fichier malveillant sous deux formes : ASthtv05 (60 Ko) ou AStht_v06 (3.1 Mo). Ce troyen se copie alors dans le dossier /Library/Caches/ et se lance discrètement au démarrage et peut ensuite :
- Enregistrer les entrées claviers
- Activer le partage de fichiers
- Capturer l'écran
- Prendre des photos par la webcam
- Créer un utilisateur administrateur invisible et envoyer toutes les informations nécessaires pour se connecter à la machine avec le compte créé
- Désactiver certains logs système
- Ouvrir des ports sur le pare-feu
Il y a ensuite plusieurs solutions :
- La plus simple : activer le service « Gestion à distance » du panneau « Partage » des préférences de votre Mac en vérifiant bien que tout est décoché dans le panneau Options
- Supprimer les droits root d'ARD : il faut taper la commande suivante dans le terminal : sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
- Utiliser la faille pour qu'elle se ferme elle-même. Il suffit de taper dans l'éditeur de script : tell application "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"
N'hésitez pas vérifier que la faille est bien inaccessible en exécutant le script :
- tell application "ARDAgent" to do shell script "whoami"
Attention, pour les deux dernières solutions, une réparation des autorisations de votre système redonnera à ARD tous ses droits. Il faudra donc dans ce cas refaire la manipulation.
otto
le 23 juin 2008 à 11:58
(21 732
lectures)
Actualités et brèves relatives
- 05 / 06 / 2008 : Mac OS X 10.6 : en janvier 2009 et pour Intel x64 seulement ?
- 02 / 06 / 2008 : Leopard 10.5.3 : problèmes avec Adobe CS3 et bugs graphiques
- 29 / 05 / 2008 : Mac OS X : Tiger a droit à sa mise à jour de sécurité
- 29 / 05 / 2008 : Leopard : la mise à jour 10.5.3 disponible au téléchargement
- 23 / 05 / 2008 : Leopard 10.5.1 : trois failles majeures dans iCal
- 17 / 04 / 2008 : Safari 3.1.1 colmate plusieurs failles de sécurité
- 11 / 04 / 2008 : Microsoft : se connecter à des PC Windows depuis un Mac
- 01 / 04 / 2008 : PWN2OWN 2008 : Leopard et Vista tombent, pas Ubuntu (MÀJ)
Il y a 167 commentaires
- Test : Acer Iconia Tab A200, une tablette sous Android de 10.1 pouces
- Vidéo : Prometheus, Ridley Scott tente de percer le mystère de l'origine de l'humanité
- Dispo : Drive, un film primé au Festival de Cannes est dans les boutiques
Protection d'écran HTC P3650 / Touch Cruise Protector Plus - Brando
Protection d'écran pour PDAA partir de 5.2 €
Protection d'écran HTC P3650 / Touch Cruise Ultra clear - Brando
Protection d'écran pour PDAA partir de 5.2 €