Pwn20wn 2018 : des failles à boucher pour Apple dans Safari et macOS

Florian Innocente |

Safari devrait prochainement recevoir quelques correctifs puisqu'il a fait l'objet d'une attention toute particulière de la part de hackers qui ont mis à jour des défauts de sécurité, ces bidouilleurs de talent participaient à la compétition Pwn2Own 2018.

Ces dernières 48h à Vancouver au Canada, ces hackers ont réussi à passer outre les barrières de sécurité de Safari sur macOS, de Firefox, d'Edge, de Windows et de VirtualBox d'Oracle. Les participants devaient exécuter leurs manipulations dans un temps limité de 30 minutes, avec trois essais. Tout était effectué sur du matériel mis à leur disposition, fonctionnant avec des systèmes et logiciels tous à jour. Certains candidats ont d'ailleurs annulé leur participation au dernier moment car les failles de sécurités qu'ils avaient dénichées venaient d'être bouchées.

Dans ce concours, chaque réussite est sanctionnée par l'attribution de points et récompensée par une coquette somme dont le montant varie selon l'importance de la cible. Office, Adobe Reader, Outlook ou encore Apache Web Server, étaient par exemple sur la table, mais ils n'ont fait l'objet d'aucune tentative ou alors infructueuses. En plus d'un chèque, les gagnants repartent avec quelques goodies et l'ordinateur qui leur a été fourni pendant l'épreuve (MacBook Pro ou Surface Book 2).

Exemples de certaines des récompenses proposées en fonction des cibles

Les failles découvertes sont achetées par l'organisateur Trend Micro qui en transmet les détails aux éditeurs. Cette année, Microsoft et VMware, sponsors de ce rendez-vous, avaient avancé l'équivalent de 2 millions de dollars en argent et en prix divers comme carottes. Toutes les tentatives n'ayant pas été couronnées de succès avec les logiciels soumis aux participants, ce sont finalement 267 000 $ (216 000 €) qui ont été distribués.

Richard Zhu a gagné cette compétition et empoché 120 000 $ en utilisant une faille dans Firefox qui lui a permis ensuite de continuer son chemin jusqu'au kernel de Windows. Il a montré également ses compétences avec Safari mais le temps alloué n'a pas suffi. Idem pour l'équipe de Ret2 Systems qui a exploité une faille dans Safari, toutefois la manipulation n'a fonctionné qu'au quatrième essai. Trend Micro a néanmoins acheté ces bugs.

Samuel Groß a réédité son coup de l'année dernière en tirant profit de bugs dans Safari, dans macOS et son kernel. Il a réussi à lancer une application depuis Safari (l'utilitaire Calculette mais ce pourrait être n'importe quoi d'autre, c'est le principe qui compte) et il a pris le temps de signer son exploit en affichant son pseudo dans la Touch Bar. Ce faisant, il a remporté la machine et 65 000 $.

Au total, Trend Micro a acheté 5 failles qui seront communiqués à Apple, 4 à Microsoft, 2 à Oracle et 1 à Mozilla.

avatar ecosmeri | 

Macos plus sûr que windows?

???

avatar r e m y | 

@ecosmeri

Faut relativiser! On parle là d'exploits qui nécessitent d'avoir un accès physique à la machine...

avatar C1rc3@0rc | 

@r e m y
«Faut relativiser! On parle là d'exploits qui nécessitent d'avoir un accès physique à la machine...»

Quand meme les failles dans Safari...
Celle qui est la plus remarquable c'est la prise de controle de la Touch Bar via Safari. Le gars l'avait presenté l'annee derniere, Apple a patche, le gars refait la meme chose aujourd'hui.

Ca a l'air de rien c'est c'est grave pour Apple: la Touch Bar est censée reposer sur une architecture differente de celle du Mac et les deux devraient etre etanches. Manifestement c'est pas le cas.
De la a penser qu'au lieu d'ajouter une securité, l'ajout des puces T2 dans les Mac vont rajouter des failles...

avatar 0MiguelAnge0 | 

@C1rc3@0rc

C’est quoi la logique?! Il écrit son nom surcla touch bar pilotée par le SoC ARM, faisant passerelle graphique avec la carte mère principal. Le gars a un accés root et accède à un périphérique.

Je ne pense pas que SoC ARM valide le boot comme sur l’iMac Pro. Et de toutes les manières, on parle d’exploits machines en marche.
De plus ce SoC protège TouchID qui n’a pas été compromis.

Bref, tu es sûr de ton raisonnement??

avatar C1rc3@0rc | 

@0MiguelAnge0
«Bref, tu es sûr de ton raisonnement??»

Oh que oui.
Je t'invite a lire la documentation developpeur relative a ces sujets.

avatar r e m y | 

@C1rc3@0rc

Ok il y a des failles mises en évidence dans cet exploit. Mais encore une fois, c'est réalisé en ayant accès à la machine et depuis un compte à minima administrateur (peut-être meme root, qui sait...)

Il y a plus grave parmi les failles connues et non encore patchees comme celle mise en évidence par un publicitaire qui créait des boites de dialogues non affichées à l'écran pour capter les infos automatiquement saisies par le trousseau. Il a lui-même avoué que même si son script ne le faisait pas, cette technique permettrait de récupérer identifiants et mot de passe par une personne mal intentionnée.
Apple n'a pas encore modifié le comportement du trousseau pour supprimer l'auto saisie et imposer un clic de l'utlisateur pour saisir les infos dans ce type de boites de dialogue.

avatar C1rc3@0rc | 

@r e m y

«ais encore une fois, c'est réalisé en ayant accès à la machine et depuis un compte à minima administrateur (peut-être meme root, qui sait...)»

L'attaque se fait a partir de Safari... conclusion?
Sinon, pour la pwn20wn les conditions sont:
- un Mac / iPhone, installé de maniere standard avec la toute derniere version de l'OS et 30 min maximum pour realiser le hack. Donc pas de compte root, ni autre preparation prealable.

«Il y a plus grave parmi les failles connues et non encore patchees comme celle mise en évidence par un publicitaire qui créait des boites de dialogues non affichées à l'écran pour capter les infos automatiquement saisies par le trousseau.»

Celle la est differente, mais elle n'est pas plus grave pour autant...
Le probleme c'est que MacOS et iOS depuis quelques generations voient l'augmentation de failles vraiment graves et ont atteint un record avec MacOS 10.13 et iOS 11.

Meme si la plupart sont executables localement, cela n'en diminue pas la gravité... les OS d'Apple sont automatisable et un malware peut tres facilement tirer partie de failles locales, surtout lorsque l'utilisateur ne dispose que d'un compte avec droits d'administrateur...

avatar BeePotato | 

@ C1rc3@0rc : « la Touch Bar est censée reposer sur une architecture differente de celle du Mac et les deux devraient etre etanches. »

Ben non, il n'y a évidemment aucune « étanchéité » prévue, puisque le fonctionnement normal est au contraire que l'application en cours d'exécution au premier plan puisse indiquer à la TouchBar ce qu'elle veut y afficher, et être notifiée en retour des manipulations de la TouchBar faites par l'utilisateur. Tout dans ce système est pensé pour une communication dans les deux sens, il n'y a donc aucune surprise dans le fait que ce soit possible.

« De la a penser qu'au lieu d'ajouter une securité, l'ajout des puces T2 dans les Mac vont rajouter des failles... »

… il y a un pas que seul un troll oserait franchir sans sourciller. :-P

avatar C1rc3@0rc | 

@BeePotato

«Ben non, il n'y a évidemment aucune « étanchéité » prévue, »

Lis la doc developpeur, tu vas apprendre des choses...
La Touch Bar n'est pas juste un autre processus (quand bien meme il devrait etre etanche et sandboxe), c'est un autre appareil qui tourne sur une autre architecture... et la communication se fait a travers une API normalisée et tres restreinte qui "devrait" pas permettre ce genre de prise de controle...

La prochaine etape c'est l'acces a l'enclave utilisée par Touch ID...

avatar BeePotato | 

@ C1rc3@0rc : « Lis la doc developpeur, tu vas apprendre des choses... »

Des choses que j'aurais ratées lors de mes lectures précédentes ? ;-)

Quand tu parles de doc développeur, tu veux parler par exemple de la doc de NSCustomTouchBarItem, qui t'explique comment n'importe quelle application fait afficher ce qu'elle veut par la TouchBar ? (et il est heureux (et normal) que ce soit le cas, sinon la TouchBar ne serait guère plus utile que des touches de fonctions)

La partie impressionnante de ce qu'a fait ce gars, c'est de trouver (et d'exploiter) une faille lui permettant d'exécuter du code applicatif depuis Safari, en franchissant les barrières qui auraient dû l'en empêcher. Ce n'est pas du tout le fait qu'il ait ensuite fait afficher par ce code un truc sur la TouchBar plutôt qu'à l'écran, ce qui ne présente aucune différence pour le code en question. C'est juste plus cool sur la TouchBar.

Ton « de là à penser que… » ne trouve aucune justification ici et n'est qu'un autre de ces délires paranoïaques auxquels tu nous as habitués.
(Ce qui ne veut pas dire que la puce T2 ne puisse pas introduire de nouvelles failles — juste que ce qui est présenté ici n'a absolument aucun rapport avec ça et ne présage en rien de cette introduction ou non de nouvelles failles.)

avatar DarthThauron | 

@ecosmeri

Moins sûr que Linux

avatar Paul Position | 

Parfois (très souvent, je pense), il est plus lucratif de revendre ses exploits au plus offrant, ce qui explique le peu de primes versées.

avatar C1rc3@0rc | 

@ Paul Position

«Parfois (très souvent, je pense), il est plus lucratif de revendre ses exploits au plus offrant, ce qui explique le peu de primes versées.»

Ceux qui viennent présenter leurs exploits a la pwn20wn le font pour se faire de la publicité en montrant leur savoir faire. Il est clair que Groß pourrait gagner beaucoup plus en vendant son exploit sur le marché noir ou a une boite de sécurité travaillant avec un gouvernement.
Et puis quand on voit toutes les failles enormes qui ont fait l'actualité de MacOS et iOS en fin d'année, on se doute bien que ce qui est presenté a cette conference est anecdotique...

avatar macam | 

@circetc. :
Tu devrais participer à ce challenge : avec toutes tes connaissances, en particulier sur les failles chez Apple, tu toucherais le jackpot à n'en pas douter. ^^

avatar macam | 

Je me demande quel est l'intérêt de limiter les hackeurs à 30 minutes pour exploiter la faille.

avatar 0MiguelAnge0 | 

@macam

Peut-être pour garder la maîtrise du temps...?

avatar r e m y | 

@macam

Pour des failles nécessitant un accès physique à la machine, ça peut avoir du sens de ne pas leur laisser la journée...
Ça permet de simuler ce que peut faire une personne mal intentionnée qui accéderait à une machine laissée quelques instants sans surveillance par son propriétaire. Je pense que c'est ce qui justifie ce temps limité.

avatar macam | 

@remy :
D'accord, merci.

CONNEXION UTILISATEUR