Microsoft a révélé une faille dans macOS qui, si elle était exploitée, pourrait permettre aux pirates d'exécuter à distance du code arbitraire. La faille, identifiée comme CVE-2022-26706, contourne les règles macOS App Sandbox, permettant aux macros de s'exécuter dans les documents Word.
Pendant des années, de nombreux acteurs de la menace ont utilisé des macros pour inciter les gens à télécharger des logiciels malveillants (ouvre dans un nouvel onglet) ou des rançongiciels sur leurs appareils. Il est arrivé à un point où Microsoft a décidé de désactiver les macros sur tous les fichiers en dehors du réseau de confiance et de rendre leur activation assez difficile pour l'utilisateur moyen de Word.
Désormais, Microsoft avertit que la pratique peut également être utilisée sur les appareils macOS :
Exécuter des commandes arbitraires
"A pesar de las restricciones de seguridad impuestas por las reglas de App Sandbox en las aplicaciones, es posible que los atacantes eludan dichas reglas y permitan que el código malicioso se 'filtre' del sandbox y ejecute comandos arbitrarios en un dispositivo afectado", explicó la compagnie.
La faille a été découverte par l'équipe de recherche Microsoft 365 Defender et aurait été corrigée par Apple le 16 mai.
App Sandbox est une technologie intégrée à macOS, qui gère le contrôle d'accès aux applications. Comme son nom l'indique, son but est de contenir tout dommage potentiel qu'une application malveillante peut causer et de protéger les données sensibles.
Le problème commence par la compatibilité ascendante de Word. Pour garantir que cela fonctionne, l'application peut lire ou écrire des fichiers avec un refix "~€". En tirant parti des services de lancement macOS pour exécuter une commande open -stdin sur un fichier Python spécialement conçu avec ce préfixe, l'attaquant peut contourner le bac à sable, a expliqué Microsoft.
Cette méthode permet également aux acteurs malveillants de contourner les « fonctionnalités de sécurité intégrées de base » dans macOS, compromettant ainsi les données du système et des utilisateurs.
Microsoft a publié une preuve de concept, dont le code est si simple que vous pouvez simplement déposer un fichier Python, préfixé ci-dessus, avec des commandes arbitraires.
"Python exécute volontiers notre code, et comme il s'agit d'un processus enfant de launchd, il n'est pas lié aux règles du bac à sable de Word", a déclaré Microsoft.
Via : BleepingComputer (Ouvre dans un nouvel onglet)