Des failles dans les macros d’Office pouvaient infecter macOS

Mickaël Bazoge |

Les attaques informatiques qui transitent par les macros Office font quasiment partie du folklore de Windows. Sur macOS, elles connaissent un regain de popularité, comme l’explique Patrick Wardle, célèbre chercheur en sécurité, désormais ingénieur sécurité chez Jamf. Dans une note parue sur son blog, il décrit une tentative d’attaque de Mac combinant plusieurs failles de sécurité touchant la suite bureautique de Microsoft, mais aussi le système d‘exploitation d’Apple.

Qu’on se rassure : ces vulnérabilités ont été corrigées dans la dernière version d’Office pour Mac, ainsi que dans macOS 10.15.3, disponible depuis fin janvier. Wardle a d’abord créé un fichier Office sous l’ancien format .slk qui pousse Office à lancer automatiquement une macro (du code exécutable intégré dans des documents) sous macOS sans prévenir l’utilisateur.

Il a ensuite exploité une deuxième faille qui permet à un malandrin d’échapper au bac à sable d’Office simplement en ajoutant le signe « $ » au début du nom du fichier. Ces deux vulnérabilités ont été repérées depuis quelques temps par des chercheurs. Wardle s’est enfin rendu compte que les protections de notarisation de macOS ne s’appliquaient pas si les fichiers téléchargées étaient compressés au format .zip.

Pour fonctionner, cette technique de piratage nécessite que la victime lance volontairement le fichier infecté et qu’elle s’authentifie sur son Mac à deux reprises, ce qui limite la dangerosité de la bidouille. Mais cela n’enlève rien au fait qu’elle pouvait fonctionner et, potentiellement, provoquer des catastrophes comme la prise de contrôle à distance de l’ordinateur. C’est heureusement de l’histoire ancienne.

Si Microsoft a répondu présent et communiqué avec le chercheur en sécurité, Apple s’est contentée de reconnaître la faille puis s’est murée dans le silence. Au grand désespoir de Patrick Wardle, qui n’en est pas à sa première découverte. « C’est un peu frustrant quand (…) des chercheurs en sécurité font gratuitement le travail de recherche [pour Apple] », déplore-il.

avatar redchou | 

Microsoft récompense même les « chercheur de bug »... C’est dommage que la pomme n’applique pas le principe des 30% dans ces cas là.
Le pire est que quand on signale un bug, ils réclament un projet minimal qui permet de reproduire le problème, un rapport, et j’en passe...

avatar fousfous | 

@redchou

Y a quand même le programme de recherche de failles qui récompense les chercheurs avec des prix conséquents il me semble.

avatar bonnepoire | 

Oui mais c’est pas foufou...

avatar redchou | 

@fousfous

Oui, pour les failles de sécurité, mais la je ne parle pas de failles, mais de bug... Et comme ça a été dit, c’est pas oufouf...

avatar occam | 

@redchou

« Si Microsoft a répondu présent et communiqué avec le chercheur en sécurité, Apple s’est contentée de reconnaître la faille puis s’est murée dans le silence. »

Ce texte serait à enregistrer en sticky automatique.
Rien à ajouter, rien à signaler.

avatar Pierre H | 

Tu es dingue toi, déjà le prix que ça leur coute d'embaucher des gens pour programmer ces trous ! Ils vont pas en plus payer des gens pour les boucher non !!!

avatar Lapin85 | 

Pourquoi pas ? La DDR le fait bien !

avatar DG33 | 

@Lapin85

C’est la DDE qui rebouche les 🕳

avatar gaurejac | 

Tout ça montre bien le danger des launch agents / launch daemons, et me fait penser que ça fait des années qu'il manque à macOS un outil de gestion des LaunchAgents tiers.

N'importe quel logiciel peut rajouter son launchagent ou launchdaemon, et ça devient vite un fouillis innommable.
Et c'est totalement opaque aux utilisateurs, qui n'ont jamais aucune idée de ce qui est installé et se lance au démarrage sur leur système.

Il y a bien la liste des ouvertures à l'ouverture de session dans le panneau de "préférences Système" "Utilisateur et groupes", mais cette liste ne dit absolument rien et est totalement ignorante de ce qui se passe dans les launch agents / launch daemons.

C'est regrettable, je ne compte pas le nombre de machines pourries au fur et à mesure que les logiciels installent leur bazar là dedans.

J'ai du mal à dire ça, mais un Windows avec sa base de registre qui est pourtant un enfer sur plein de points est limite plus transparent pour l'utilisateur.

Il faudrait que macOS affiche les launchagents installés, et / ou demande confirmation à l'installation.

@Michael : un petit rappel sur ce qui se lance au démarrage serait top :)
Par exemple un développement de l'article de Stéphane Moussie :
https://www.macg.co/logiciels/2018/05/lingon-controlez-les-processus-automatiques-de-votre-mac-102208

avatar occam | 

@gaurejac

« J'ai du mal à dire ça, mais un Windows avec sa base de registre qui est pourtant un enfer sur plein de points est limite plus transparent pour l'utilisateur. »

Amen.
Il est parfois plus simple, ou moins exaspérant, de jouter contre le vieux diable que l’on connaît, plutôt que de s’empoigner avec un démon qui cache son jeu.

P.S.
Ça me rappelle une vieille blague vue dans une ancienne revue informatique.
Un jeune punk tague le mur de la cour intérieure d’un immeuble : « FUCK THE SYSTEM ! »
Un vieillard au balcon du 6e étage l’interpelle :
« Young man, that doesn’t work. If you want to change the system, you’ll have to get the hang of the Registry. »

avatar MacPlusEtc | 

@occam

😊

avatar codeX | 

"Tout ça montre bien le danger des launch agents / launch daemons, et me fait penser que ça fait des années qu'il manque à macOS un outil de gestion des LaunchAgents tiers."

https://www.soma-zone.com/LaunchControl/
https://apps.apple.com/fr/app/lingon-3/id450201424?l=en&mt=12

avatar r e m y | 

Est-ce que la faille concerne également les versions antérieures de macOS (10.14, 10.13...)? Et si oui, a-t-elle été corrigée également ?

avatar r e m y | 

@r e m y

Réponse rapide de Patrick Wardle... l'exploit vis à vis de macOS consistait à by-passer le mécanisme de notarization. Apple l'a corrigé à partir de macOS 10.15.3 pour ne plus permettre ce type de contournement.
Par contre toutes les versions antérieures de macOS, sans notarisation, restent attaquables par des macros d'Office si on ne travaille pas avec une version à jour d'Office.

CONNEXION UTILISATEUR