211service.com
Attaques Mac plus furtives
Les fans d'ordinateurs Apple se vantent souvent d'une sécurité supérieure. Mais comme les Mac ont gagné en popularité au cours des dernières années, cela a attiré beaucoup plus l'attention des pirates. Lors d'une présentation prévue aujourd'hui au Chapeau noir DC conférence sur la sécurité informatique à Washington, DC, un expert en sécurité révélera une technique pour attaquer le système d'exploitation Mac – OS X – sans laisser de trace.
Des techniques similaires ciblent à la fois les machines Windows et Linux depuis plusieurs années. Ils permettent à un attaquant de brouiller les pistes, éliminant les preuves vitales qu'un enquêteur pourrait normalement utiliser pour prouver qu'une machine a été compromise ; ils pourraient également permettre à l'enquêteur de rassembler les détails de l'incident. Apporter la technique au Mac, cependant, nécessitait une approche beaucoup plus sophistiquée.
La technique qui sera décrite à Black Hat DC permet à un attaquant de supprimer pratiquement toute trace d'une attaque contre OS X, après avoir compromis le système à l'aide d'un autre exploit.
Vincenzo Iozzo , un étudiant du Politecnico di Milano, en Italie, explique que la technique permet à un attaquant de s'introduire dans une machine sans laisser de trace dans sa mémoire permanente, ce qui signifie que les preuves de l'attaque disparaîtront dès que l'ordinateur de la victime sera allumé désactivé. Une telle technique pourrait être utilisée, par exemple, en combinaison avec une autre faille logicielle pour remplacer secrètement une version légitime du navigateur Web Safari d'Apple par une version malveillante qui enregistre les frappes de l'utilisateur et les envoie à l'attaquant.
Normalement, lorsqu'un utilisateur exécute une application, le code s'exécute dans diverses parties de la mémoire de l'ordinateur. Sous OS X, un format de fichier appelé Mach-O est utilisé pour spécifier où dans la mémoire de l'ordinateur les processus de l'application doivent s'exécuter. Iozzo a étudié le format de fichier Mach-O afin de prédire à l'avance où ces processus pourraient être trouvés. La technique identifie un processus actif (comme celui de Safari) et injecte du code malveillant dans l'espace mémoire où il s'exécute. Lorsque le système lit à partir de l'emplacement attendu, il exécute le code de l'attaquant au lieu du programme légitime. Comme la technique ne laisse aucune trace, Iozzo précise qu'elle ne peut être détectée qu'à l'aide d'un logiciel qui surveille les intrusions sur un réseau.
Prédire où injecter le code malveillant est rendu plus difficile par une fonction de sécurité dans OS X qui stocke les variables nécessaires pour garder l'attaque introuvable dans des emplacements aléatoires de la mémoire. Cependant, Iozzo a découvert un moyen d'anticiper où les variables seraient stockées en fonction d'éléments d'information qui restent inchangés.
Appel Dino Dai , un chercheur indépendant en sécurité spécialisé dans les Mac, déclare que le travail de Iozzo est très intéressant, compte tenu notamment des difficultés qu'il a dû surmonter pour que la technique furtive fonctionne sur OS X.
Dai Zovi précise que, pour l'instant, il existe peu d'attaques Mac suffisamment sophistiquées pour nécessiter une protection de ce type. Mais il ajoute que la technique pourrait s'avérer un moyen efficace de contourner les logiciels antivirus avancés à l'avenir.
Les attaquants ne se sont pas beaucoup concentrés sur le Mac à ce jour, car sa plus petite audience signifie des gains potentiels plus faibles. Mais Dai Zovi note que cela commence à changer, et il dit que rechercher les vulnérabilités du système maintenant devrait donner aux défenseurs le temps de se préparer aux futurs logiciels malveillants.
Iozzo dit qu'il faudra peut-être du temps à Apple pour réagir à sa technique car elle exploite des éléments fondamentaux de la structure du système d'exploitation qui ne peuvent pas être modifiés avec un simple correctif logiciel. Il dit que cela peut nécessiter une mise à niveau plus importante, telle que l'introduction de la nouvelle version d'OS X, appelée Léopard des neiges , dont l'expédition est prévue en 2010.
En attendant, Iozzo dit que les utilisateurs peuvent se protéger en gardant leurs systèmes à jour avec tous les correctifs de sécurité publiés pour OS X. Étant donné que la technique repose sur d'autres failles qu'un attaquant pourrait exploiter, les utilisateurs doivent se concentrer sur la réduction de ces autres menaces autant que possible. que possible, dit-il.
Cependant, la technique pourrait bientôt constituer une menace pour un autre type d'appareil. Iozzo dit qu'il travaille actuellement avec un autre chercheur en sécurité pour étendre sa technique à l'iPhone.