Pwn20wn 2018 : des failles à boucher pour Apple dans Safari et macOS
Safari devrait prochainement recevoir quelques correctifs puisqu'il a fait l'objet d'une attention toute particulière de la part de hackers qui ont mis à jour des défauts de sécurité, ces bidouilleurs de talent participaient à la compétition Pwn2Own 2018.
Ces dernières 48h à Vancouver au Canada, ces hackers ont réussi à passer outre les barrières de sécurité de Safari sur macOS, de Firefox, d'Edge, de Windows et de VirtualBox d'Oracle. Les participants devaient exécuter leurs manipulations dans un temps limité de 30 minutes, avec trois essais. Tout était effectué sur du matériel mis à leur disposition, fonctionnant avec des systèmes et logiciels tous à jour. Certains candidats ont d'ailleurs annulé leur participation au dernier moment car les failles de sécurités qu'ils avaient dénichées venaient d'être bouchées.
Dans ce concours, chaque réussite est sanctionnée par l'attribution de points et récompensée par une coquette somme dont le montant varie selon l'importance de la cible. Office, Adobe Reader, Outlook ou encore Apache Web Server, étaient par exemple sur la table, mais ils n'ont fait l'objet d'aucune tentative ou alors infructueuses. En plus d'un chèque, les gagnants repartent avec quelques goodies et l'ordinateur qui leur a été fourni pendant l'épreuve (MacBook Pro ou Surface Book 2).
Les failles découvertes sont achetées par l'organisateur Trend Micro qui en transmet les détails aux éditeurs. Cette année, Microsoft et VMware, sponsors de ce rendez-vous, avaient avancé l'équivalent de 2 millions de dollars en argent et en prix divers comme carottes. Toutes les tentatives n'ayant pas été couronnées de succès avec les logiciels soumis aux participants, ce sont finalement 267 000 $ (216 000 €) qui ont été distribués.
Richard Zhu a gagné cette compétition et empoché 120 000 $ en utilisant une faille dans Firefox qui lui a permis ensuite de continuer son chemin jusqu'au kernel de Windows. Il a montré également ses compétences avec Safari mais le temps alloué n'a pas suffi. Idem pour l'équipe de Ret2 Systems qui a exploité une faille dans Safari, toutefois la manipulation n'a fonctionné qu'au quatrième essai. Trend Micro a néanmoins acheté ces bugs.
Samuel Groß a réédité son coup de l'année dernière en tirant profit de bugs dans Safari, dans macOS et son kernel. Il a réussi à lancer une application depuis Safari (l'utilitaire Calculette mais ce pourrait être n'importe quoi d'autre, c'est le principe qui compte) et il a pris le temps de signer son exploit en affichant son pseudo dans la Touch Bar. Ce faisant, il a remporté la machine et 65 000 $.
Confirmed! @5aelo used a JIT optimization bug in the browser, a macOS logic bug, & a kernel overwrite to execute code to successfully exploit Apple Safari. This chain earned him $65K & 6 points Master of Pwn points. pic.twitter.com/iLfNFnXzzs
— Zero Day Initiative (@thezdi) 15 mars 2018
Au total, Trend Micro a acheté 5 failles qui seront communiqués à Apple, 4 à Microsoft, 2 à Oracle et 1 à Mozilla.
Macos plus sûr que windows?
???
@ecosmeri
Faut relativiser! On parle là d'exploits qui nécessitent d'avoir un accès physique à la machine...
@r e m y
«Faut relativiser! On parle là d'exploits qui nécessitent d'avoir un accès physique à la machine...»
Quand meme les failles dans Safari...
Celle qui est la plus remarquable c'est la prise de controle de la Touch Bar via Safari. Le gars l'avait presenté l'annee derniere, Apple a patche, le gars refait la meme chose aujourd'hui.
Ca a l'air de rien c'est c'est grave pour Apple: la Touch Bar est censée reposer sur une architecture differente de celle du Mac et les deux devraient etre etanches. Manifestement c'est pas le cas.
De la a penser qu'au lieu d'ajouter une securité, l'ajout des puces T2 dans les Mac vont rajouter des failles...
@C1rc3@0rc
C’est quoi la logique?! Il écrit son nom surcla touch bar pilotée par le SoC ARM, faisant passerelle graphique avec la carte mère principal. Le gars a un accés root et accède à un périphérique.
Je ne pense pas que SoC ARM valide le boot comme sur l’iMac Pro. Et de toutes les manières, on parle d’exploits machines en marche.
De plus ce SoC protège TouchID qui n’a pas été compromis.
Bref, tu es sûr de ton raisonnement??
@0MiguelAnge0
«Bref, tu es sûr de ton raisonnement??»
Oh que oui.
Je t'invite a lire la documentation developpeur relative a ces sujets.
@C1rc3@0rc
Ok il y a des failles mises en évidence dans cet exploit. Mais encore une fois, c'est réalisé en ayant accès à la machine et depuis un compte à minima administrateur (peut-être meme root, qui sait...)
Il y a plus grave parmi les failles connues et non encore patchees comme celle mise en évidence par un publicitaire qui créait des boites de dialogues non affichées à l'écran pour capter les infos automatiquement saisies par le trousseau. Il a lui-même avoué que même si son script ne le faisait pas, cette technique permettrait de récupérer identifiants et mot de passe par une personne mal intentionnée.
Apple n'a pas encore modifié le comportement du trousseau pour supprimer l'auto saisie et imposer un clic de l'utlisateur pour saisir les infos dans ce type de boites de dialogue.
@r e m y
«ais encore une fois, c'est réalisé en ayant accès à la machine et depuis un compte à minima administrateur (peut-être meme root, qui sait...)»
L'attaque se fait a partir de Safari... conclusion?
Sinon, pour la pwn20wn les conditions sont:
- un Mac / iPhone, installé de maniere standard avec la toute derniere version de l'OS et 30 min maximum pour realiser le hack. Donc pas de compte root, ni autre preparation prealable.
«Il y a plus grave parmi les failles connues et non encore patchees comme celle mise en évidence par un publicitaire qui créait des boites de dialogues non affichées à l'écran pour capter les infos automatiquement saisies par le trousseau.»
Celle la est differente, mais elle n'est pas plus grave pour autant...
Le probleme c'est que MacOS et iOS depuis quelques generations voient l'augmentation de failles vraiment graves et ont atteint un record avec MacOS 10.13 et iOS 11.
Meme si la plupart sont executables localement, cela n'en diminue pas la gravité... les OS d'Apple sont automatisable et un malware peut tres facilement tirer partie de failles locales, surtout lorsque l'utilisateur ne dispose que d'un compte avec droits d'administrateur...
@ C1rc3@0rc : « la Touch Bar est censée reposer sur une architecture differente de celle du Mac et les deux devraient etre etanches. »
Ben non, il n'y a évidemment aucune « étanchéité » prévue, puisque le fonctionnement normal est au contraire que l'application en cours d'exécution au premier plan puisse indiquer à la TouchBar ce qu'elle veut y afficher, et être notifiée en retour des manipulations de la TouchBar faites par l'utilisateur. Tout dans ce système est pensé pour une communication dans les deux sens, il n'y a donc aucune surprise dans le fait que ce soit possible.
« De la a penser qu'au lieu d'ajouter une securité, l'ajout des puces T2 dans les Mac vont rajouter des failles... »
… il y a un pas que seul un troll oserait franchir sans sourciller. :-P
@BeePotato
«Ben non, il n'y a évidemment aucune « étanchéité » prévue, »
Lis la doc developpeur, tu vas apprendre des choses...
La Touch Bar n'est pas juste un autre processus (quand bien meme il devrait etre etanche et sandboxe), c'est un autre appareil qui tourne sur une autre architecture... et la communication se fait a travers une API normalisée et tres restreinte qui "devrait" pas permettre ce genre de prise de controle...
La prochaine etape c'est l'acces a l'enclave utilisée par Touch ID...
@ C1rc3@0rc : « Lis la doc developpeur, tu vas apprendre des choses... »
Des choses que j'aurais ratées lors de mes lectures précédentes ? ;-)
Quand tu parles de doc développeur, tu veux parler par exemple de la doc de NSCustomTouchBarItem, qui t'explique comment n'importe quelle application fait afficher ce qu'elle veut par la TouchBar ? (et il est heureux (et normal) que ce soit le cas, sinon la TouchBar ne serait guère plus utile que des touches de fonctions)
La partie impressionnante de ce qu'a fait ce gars, c'est de trouver (et d'exploiter) une faille lui permettant d'exécuter du code applicatif depuis Safari, en franchissant les barrières qui auraient dû l'en empêcher. Ce n'est pas du tout le fait qu'il ait ensuite fait afficher par ce code un truc sur la TouchBar plutôt qu'à l'écran, ce qui ne présente aucune différence pour le code en question. C'est juste plus cool sur la TouchBar.
Ton « de là à penser que… » ne trouve aucune justification ici et n'est qu'un autre de ces délires paranoïaques auxquels tu nous as habitués.
(Ce qui ne veut pas dire que la puce T2 ne puisse pas introduire de nouvelles failles — juste que ce qui est présenté ici n'a absolument aucun rapport avec ça et ne présage en rien de cette introduction ou non de nouvelles failles.)
@ecosmeri
Moins sûr que Linux
Parfois (très souvent, je pense), il est plus lucratif de revendre ses exploits au plus offrant, ce qui explique le peu de primes versées.
@ Paul Position
«Parfois (très souvent, je pense), il est plus lucratif de revendre ses exploits au plus offrant, ce qui explique le peu de primes versées.»
Ceux qui viennent présenter leurs exploits a la pwn20wn le font pour se faire de la publicité en montrant leur savoir faire. Il est clair que Groß pourrait gagner beaucoup plus en vendant son exploit sur le marché noir ou a une boite de sécurité travaillant avec un gouvernement.
Et puis quand on voit toutes les failles enormes qui ont fait l'actualité de MacOS et iOS en fin d'année, on se doute bien que ce qui est presenté a cette conference est anecdotique...
@circetc. :
Tu devrais participer à ce challenge : avec toutes tes connaissances, en particulier sur les failles chez Apple, tu toucherais le jackpot à n'en pas douter. ^^
Je me demande quel est l'intérêt de limiter les hackeurs à 30 minutes pour exploiter la faille.
@macam
Peut-être pour garder la maîtrise du temps...?
@macam
Pour des failles nécessitant un accès physique à la machine, ça peut avoir du sens de ne pas leur laisser la journée...
Ça permet de simuler ce que peut faire une personne mal intentionnée qui accéderait à une machine laissée quelques instants sans surveillance par son propriétaire. Je pense que c'est ce qui justifie ce temps limité.
@remy :
D'accord, merci.