Mac OS X : le Tigre et le Leopard confrontés à un Cheval

Le par  |  22 commentaire(s)
Apple_Leopard

La société SecureMac émet un avis de sécurité suite à la découverte d'un cheval de Troie qui en veut à Mac OS X 10.4 et 10.5. Le risque de sécurité est qualifié de critique.

Apple_LeopardSecureMac affirme avoir découvert plusieurs variantes d'un nouveau cheval de Troie ciblant Mac OS X 10.4 et 10.5. Lâché dans le Web sauvage, l'animal galope à travers les réseaux d'échange étant distribué par iChat et LimeWire. Il prend la forme d'un script AppleScript compilé pesant 60 ko et portant le nom barbare de ASthtv05, voire celle d'une application de 3,1 Mo,  Astht_v06.

Pour une infection, l'utilisateur doit télécharger et exécuter, le cheval de Troie ira alors se loger dans le dossier " /Library/Caches/ "  et se lancera à chaque démarrage de la machine.


Tremblez Mac Users (?)
Toujours selon SecureMac, le troyen agit dans la discrétion et permet à un attaquant distant d'avoir accès au système vulnérable. Il peut transmettre des mots de passe utilisateur, et échappe à la détection en ouvrant des ports du pare-feu et en désactivant les messages système. Pour finir de brosser le tableau noir, SecureMac ajoute que le cheval de Troie embarque un enregistreur de frappe, peut activer le partage de fichiers, effectuer des captures d'écran voire des photos en sollicitant la webcam iSight.

Rien de bien réjouissant à priori pour ce malware qui exploite une vulnérabilité récemment découverte dans Apple Remote Desktop, une application qui permet l'administration à distance des ordinateurs. Via cette faille des droits administrateur sont indument attribués.

Apple devrait prochainement fournir un correctif pour la vulnérabilité, coupant l'herbe sous le pied au cheval de Troie. En attendant, SecureMac propose bien évidemment... sa solution de sécurité. Reste que ce malware vient grossir les rangs, encore très maigrelets, des menaces s'en prenant spécifiquement à Mac OS X. Sous Mac OS comme ailleurs, les utilisateurs doivent donc faire preuve de vigilance en ne téléchargeant pas n'importe quoi. Peut-être est-ce là le signe tangible de la popularité grandissante de l'OS de la firme à la pomme.
Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #258071
Ça y est, ça va faire comme pour le monde PC. Les sociétés qui créée les anti-virus commencent à voir les PDM de mac augmenter et donc un marché potentiel. Donc ils vont créer eux même leurs virus pour bien sûr inciter les utilisateurs paniqué à installer leur solutions. CQFD.
Ah la la, une petite pensée aux admins Mac qui vont devoir faire quelques séminaires sur la securité
Le #258081
ben ça alors!

j'ai lu des centaines de fois que macosx était invulnérable aux virus et trojan du fait de son architecture sécurisée!

peut etre que tout cela n'était que des discours de fanboys qui espéraient simplement que cela soit vrai... et dire qu'ils étaient si sûrs d'eux...
Le #258101
Mais oui mais oui, mais les articles d'intego et securemac où le blabla sur leur protection est plus grande que le blabla sur le "nouveau trojan vachement critique" je me méfierai toujours. D'autant que sur intego on apprend que "There are cases where this exploit does not work. If a user has turned on Remote Management in the Sharing pane of System Preferences under Mac OS X 10.5, or if a user has installed Apple Remote Desktop client under Mac OS X 10.4 or earlier and has activated this setting in the Sharing preferences, the exploit will not function"...
Bref encore plus d'intox qu'autre chose, les éditeurs savent plus quoi inventer pour faire vendre leurs logiciels qui servent à rien
Le #258121
Bof, c'est encore une faille de type "erreur d'interface chaise clavier" (faut quand même installer soi même le truc)
Comme la majorité des utilisateurs mac ne lancent pas le daemon ARD, et qu'il ne tourne pas, il faut donc pour que cette faille soit utilisable :

1- Que l'utilisateur active ARD (dans les services, comme ftpd, httpd, sshd, etc)
2- Qu'il downloade le dit trojan
3- Qu'il lance le programme (ou le script) en question.

ça fait quand même beaucoup de "si".

La seule faille vraiment dangereuse pour celui qui utilise Apple Remote Desktop, c'est en fait qu'il suffit de créér un applescript du genre :

tell application "ARDAgent" to do shell script "rm -rf / ; echo "au revoir le dur" "

et de l'exécuter (le faites pas, c'est le genre de script tout con qui va effacer l'intégralité de votre partition /)

Là en effet, c'est de la faille : ARD ne demande pas le mot de passe root. Ce qui permet, virtuellement, et dans le cas de l'exécution d'un script de ce genre, d'installer à peu près tout et n'importe quoi.

par contre, quand je fais, dans un terminal :

lidstah$ ps aux | grep ARD

que dalle. La solution simple pour ceux qui n'en ont pas besoin, c'est donc de vérifier qu'ARD est bien désactivé (normalement, désactivé par défaut). En attendant le correctif qui ne devrait pas tarder.

Et comme le dit mccabe, c'est, grosso modo, du FUD.
Le #258151
link83 >Aucun OS n'est invulnérable. C'est juste que macOS/X n'est pas encore assez intéressant commercialement parlant pour que les pirates cherchent ses failles.
Le #258171
omega220>
je sais, mais certains prétendent que OSX est invulnérable, et insultent tous ceux qui pensent le contraire... alors que techniquement tous les os sont vulnérables aux virus/spywares/et trojan qui ne sont après tout que de simples logiciels ayant un but malveillant (et pour envoyer du spam ou voler des numéros de CB et se relancer à chaque démarrage, pas besoin de droits root)
Le Vendangeur Masqué Hors ligne Vétéran 2082 points
Le #258221
@link83

En théorie OS X n'est pas invulnérable. Mais en pratique l'exemple d'aujourd'hui nous prouve que si:
1/ Ça n'est pas un virus, il ne rentre pas tout seul comme par magie dans ton ordi.
2/ Il doit pas être simple à trouver sur le net. J'ai pas encore trouvé de site où le récupérer, alors monsieur tout le monde il a une chance sur chépakombien de tomber dessus.
3/ Même récupéré il faut encore aller cliquer dessus, et là un avertissement apparaît.
4/ Un malware par an c'est trop peu pour créer un risque, d'autant que le pauvre est sur-médiatisé ruinant tout effet de surprise.
5/ Apple corrigera ça très vite: pas le temps d'infecter grand-monde, et ça en sera terminé de cette vulnérabilité. Une porte se referme, encore un an de boulot pour les hackers à deux balles pour trouver autre chose.
C'est comme le jeu du chat et de la souris... sauf que courir après une souris congelée ça n'est pas très palpitant.

Merci de nous faire partager un si beau moment d'humilation mon petit Link83, parce que pour se gausser d'un malware chez le voisin quand on en a des dizaines de milliers chez soi, faut pas avoir peur du ridicule...
Le #258251
Pour aller dans le sens de lidstah et plus :
* Vérifiez la présence de ARD dans les services automatiques par ceci ( sans être root )
# grep ARD /etc/hostconfig
->le résultat par défaut est : ARDAGENT=-NO-
Si le résultat est -YES-, changez la valeur (vi/pico/nano/visudo...) et redémarrez la machine.

* Si vous ne souhaitez pas changer à cette profondeur du système, il faut ACTIVER le service ARD via les préférences systèmes. Le fait d'activer le service par cette voie empêche ARD de lancer des scripts sans autorisation cf mac4ever ou macgeneration.

* Ne vous contentez pas de chmod le vilain service, la modification ne résistera pas à une réparation des autorisations.

Cette faille en soit n'a rien d'exceptionnel, la vrai révélation du jour est que les troyens sont prêts. Le malware en question fait 3 MO ... il n'a pas été réalisé pour l'occasion mais attendait simplement un vecteur d'activation.
Il est dangereux de suivre le raisonnement de LVM sans recul, un petit tour sur un précédent concours de hacking (dont le règlement OFFICIEL est toujours en ligne, mais en anglais ce qui explique nombre delectures erronées) et on obtient le scénario suivant :
* exécution de code avec les privilèges de Safari (backport bâclé )
* escalade de privilège (avec ARD donc)
* installation du troyen (comportement précis publié sur macgé, un BackOrifice élégant)


Ah la la, une petite pensée aux admins Mac qui vont devoir faire quelques séminaires sur la sécurité


Faut relativiser tout de même, le commun c'est quand même un bagage technique cohérent.
Après, à l'instar Jean-Kevin KIKOOLOL sur NT, il y a des LVM sur Mac. Les admins Mac ne sont pas plus des fanboys réac que les admins classiques sont des hippies asociaux.
Personnellement je suis un "client" Mac. Le jour où mon patron me demande de tout passer a FreeBSD ça sera sans état d'âme. Si c'est pour Windows je demande une prime de risque et prends contact avec le coiffeur de PPDA
Le #258331
@LVM

tiens c'est marrant je pensais justement à toi en écrivant ceci dans mon précédent post:

"j'ai lu des centaines de fois que macosx était invulnérable aux virus et trojan du fait de son architecture sécurisée!
peut etre que tout cela n'était que des discours de fanboys qui espéraient simplement que cela soit vrai... et dire qu'ils étaient si sûrs d'eux..."


encore une fois tu n'hésites pas à montrer que tu as parfaitement avalé tout le discours marketting d'apple et que tu y crois dur comme fer! malheureusement pour toi, il ne suffit pas d'y croire pour que cela devienne réalité!




"En théorie OS X n'est pas invulnérable. Mais en pratique l'exemple d'aujourd'hui nous prouve que si:"

ya une contradiction là...
d'abord tu dis:
-osx n'est pas invulnérable
ensuite:
-mais l'existence de ce cheval de troie prouve qu'osx est invulnérable (!?!!)

alors que ce cheval exploite une vulnérabilité dans osx

on sent tout de suite que la suite va être d'un niveau très élevé...


"1/ Ça n'est pas un virus, il ne rentre pas tout seul comme par magie dans ton ordi."

ah parce que selon toi, un virus entre tout seul comme par magie dans les pc sous windows?
va falloir revoir ta définition de ce qu'est un virus, et de ce qu'est un malware en général



"2/ Il doit pas être simple à trouver sur le net. J'ai pas encore trouvé de site où le récupérer, alors monsieur tout le monde il a une chance sur chépakombien de tomber dessus."

peut etre que si macosx avait plus de 5% de parts de marché les pirates seraient un peu plus intéressés par cette cible


"3/ Même récupéré il faut encore aller cliquer dessus, et là un avertissement apparaît."


tu dis que tu ne l'as pas trouvé, alors comment sais tu qu'il y a un avertissement qui apparait?
un programme malveillant n'a pas les besoin des droits root pour faire son sale boulot


"4/ Un malware par an c'est trop peu pour créer un risque, d'autant que le pauvre est sur-médiatisé ruinant tout effet de surprise."

les virus sur pc ont beau etre médiatisés, il y a toujours des utilisateurs qui en attrappent car ils téléchargent n'importe quoi sur emule

donc meme en sachant que ce trojan existe sous osx, tu as toujours un risque de tomber dessus en installant n'importe quoi sur ton mac


http://macscan.securemac.com/spyware-list

à voir cette liste, il y a bien plus de malwares connus que tu ne l'imagines sous osx... (et cmb de malwares infectant des macs mais non detectés par les antivirus?)


"5/ Apple corrigera ça très vite: pas le temps d'infecter grand-monde, et ça en sera terminé de cette vulnérabilité. Une porte se referme, encore un an de boulot pour les hackers à deux balles pour trouver autre chose."

j'ai l'impression que tu ne comprends pas un truc:

un trojan est un logiciel comme les autres!
si tu télécharges un programme créé par un auteur malveillant, rien ne l'empeche de lancer un programme à chaque ouverture de ta session pour voler tes données (numéro de CB quand tu passes une commande, ...), afficher de la pub porno sur ton bureau, ou se servir de ton mac pour envoyer du spam
et ce, sans aucun message d'avertissement de la part d'osx (je le rapelle, pour faire tout ça, nul besoin d'avoir des droits root)

prétendre que ce n'est pas possible, et que osx est invulnérable à ce type de logiciel, c'est ce qu'on appelle la politique de l'autruche (ou de LVM en l'occurence...)


"Merci de nous faire partager un si beau moment d'humilation mon petit Link83, parce que pour se gausser d'un malware chez le voisin quand on en a des dizaines de milliers chez soi, faut pas avoir peur du ridicule... "


faut pas avoir peur du ridicule pour prétendre qu'osx est invulnérable alors qu'aucun OS ne peut etre invulnérable aux logiciels malveillants, c'est tout simplement IMPOSSIBLE.

la seule chose qui fait qu'osx a "seulement" une vingtaine de malwares connus est que ses parts de marché sont très faibles (ce qui en fait une cible peu attrayante), et que personne n'utilise d'antivirus sur osx : donc quand quelqu'un se retrouve avec un malware inconnu sur sa machine, il ne s'en rend jamais compte, et aucun moteur d'analyse comportementale n'est présent pour detecter un comportement suspect et soumettre le code en question pour analyse détaillée auprès des sociétés d'antivirus.

après libre à toi de rire betement dans ton coin, d'ignorer les notions les plus basiques de la sécurité informatique et de tenter de te moquer des gens qui prennent la peine d'essayer de te rendre un peu moins ignorant
Le #258371
@Kertiam

"# grep ARD /etc/hostconfig
->le résultat par défaut est : ARDAGENT=-NO-
Si le résultat est -YES-, changez la valeur (vi/pico/nano/visudo...) et redémarrez la machine."

je rajouterai même :

sudo sed s/ARDAGENT=-YES-/ARDAGENT=-NO- /etc/hostconfig

dans la liste des solutions possibles

@link83

Je passe bien sûr sur les commentaires de LVM, qui, à mon avis, est un enthousiaste
Ce qu'il faut bien comprendre, avant tout, c'est que OSX est un UNIX, au même titre que System Release V et ses prédécesseurs, AIX, Linux, *BSD, Solaris, AuX (Amiga UNIX pour ceux qui connaissent pas, que j'ai longuement utilisé dans le temps sur Amiga 3000, au tout début du 'net grand public, aaah, compuserve...), IRIX, NeXT, QNX, etc...
Ce qu'il faut bien comprendre, c'est aussi qu'UNIX ça remonte à 1969 (UNICS à l'époque). Lequel dérivait de MultiCS (Multitask/multiuser Computer System si ma mémoire ne me fait pas défaut).
Alors oui, UNIX n'est pas invulnérable, c'est pas une nouvelle. Les premiers vers et les premiers virus ont d'ailleurs été développés pour ces systèmes (rappellez vous l'histoire du premier ver qui a paralysé le réseau au début des années 80, déjà à l'époque, ça avait couté des millions de $)
Le problème, c'est que justement, la sécurité, c'est devenu maladif sous UNIX. Or, Mac OSX EST un UNIX...

"les virus sur pc ont beau etre médiatisés, il y a toujours des utilisateurs qui en attrappent car ils téléchargent n'importe quoi sur emule"

Exactement. et c'est partout pareil. On ne le dira jamais assez, vérifiez vos sources wawa... oops, pardon Mme Albanel tout ça... bien sûr on peut encapsuler un code malicieux dans une vidéo par exemple, en admettant que ce code puisse être lancé par une faille style débordement de tampon par un lecteur de vidéo quelconque (vlc, mplayer, windows media player), et c'est bien pour ça que sous unix, nous utilisons un système multiutilisateurs...
Dans ce cas de figure, seul l'utilisateur ayant exécuté le code en question d'une façon ou d'une autre sera touché. Le reste du système (ie les données des autres utilisateurs et les données du système (aka Mr. root) ) ne seront pas impactés.
N'oublions pas qu'UNIX a été conçu à la base dans une optique clients/serveur pour de grosses mainframes et de petits terminaux. La segmentation des permissions de chaque utilisateur en fonction de son grade, ainsi que la sécurisation de ses logins/passes a toujours été une priorité, et ce depuis le début...

"faut pas avoir peur du ridicule pour prétendre qu'osx est invulnérable alors qu'aucun OS ne peut etre invulnérable aux logiciels malveillants, c'est tout simplement IMPOSSIBLE."

En effet, aucun OS n'est invulnérable.
Seulement certains permettent à des vulnérabilités d'être utilisées à l'insu de son utilisateur (cf IE qui loade les DLLs présentes sur... le bureau!), d'autres requièrent un probleme d'interface chaise clavier...
Car, encore une fois, dans le cas présent, ainsi que Kertiam l'a bien résumé, il faut :

1- Que ARD soit activé (perso, comme je travaille surtout avec différents unices, c'est ssh(oui oui, j'ai refait mes clefs et upgradé ma lib openssl)/sshd et vnc/vncd. Plus, j'utilise une vieille babasse sous NetBSD pour me jouer le rôle d'IPCop (ie, tous les services précités ne peuvent tourner qu'en local avec certaines adresses MAC, iptable est ton ami).

2- que tu downloades un script applescript comme décrit plus haut (genre tell application "ARDAgent" to do shellscript "blabla blabla niqué machine zog zog") et que tu l'EXECUTE SCIEMMENT!!!! putain, vous téléchargez un truc bizarre sur le net, ou, par le plus grand des miracles, vous trouvez un truc chelou dans votre répertoire de téléchargement, vous faites quoi? vous cliquez dessus pardi!!!!! ça va, la lobotomie a pas fait trop mal ? t'as recollé ton bout de cerveau manquant à la glu? le monde n'est plus composé que de datazombies qui ont oublié ce que signifie penser?(©Roland.C.Wagner)

"donc quand quelqu'un se retrouve avec un malware inconnu sur sa machine, il ne s'en rend jamais compte, et aucun moteur d'analyse comportementale"

LOL... sous unix, on a ps aux, et un nombre incalculables de monitorings de process et du réseau (netstat, rien que ça, déjà...) on peut lister l'intégralité des processus tournant sur notre babasse, root, nobody, system, papy, mamie, duconlajoie... et quand le nom d'un process te revient pas, suffit d'aller vérifier sur la database des process normaux de ta distro... ah oui, un su root, mot de passe, kill PID et bye bye pour la session en cours. Reste plus qu'à localiser l'intrus, qui a de fortes chances de traîner dans le PATH et dans les fichiers de démarrage (allez, on va dire, .xinitrc, .bashrc, initd.conf, xorg.conf et leurs petits copains, y'en a beaucoup d'autres mais bon, on va pas faire la liste hein ), par exemple, pour lui régler son compte...
Analyse comportementale... sociétés d'antivirus (ah oui, les couillons qui veulent nous vendre leur merdes?)
Puis aussi :

Un virus est un logiciel qui se recopie à l'intérieur de fichiers divers, dans le but de se répliquer a chaque exécution/lecture du dit fichier, et non un process. Il est appellé ainsi du fait de sa grande similarité avec les virus biologiques.
Il doit être petit, solide, capable de se recompiler lui même pour modifier sa trace hexadécimale (virus auto-modifiant, genre, Datacrime dans le bon vieux temps (ça, c'était de la saloperie en 1024 octets sur un secteur de boot d'une disquette; du genre à infecter tous les medias disponibles sur une machine et à se propager de machine en machine hyper vite, et pas besoin de réseau pour ça, même à l'époque (92-93)))

Un trojan, est un logiciel qui s'installe et se débrouille pour être lancé au démarrage si possible sans se faire répérer, et qui ouvre une "backdoor" (grossièrement, un équivalent de sshd sur un autre port) permettant de contrôler la machine à distance, donc, c'est un process qu'on peut tracer(nmap toi-même!!), killer, effacer, ou dont on peut empêcher l'exécution, mais qui ne se reproduit pas de lui même à chaque exécution contrairement au virus informatique. De plus, il nécéssite le plus souvent une opération EXTERNE (interface chaise/clavier, utilisateur malveillant (le gars qui passe avec une clef usb et qui l'installe sans rien dire, par exemple))

Le problème avec windows, c'est que les fanboys windows sont extrêmement mal informés sur le fonctionnement de ce genre de malwares, et ne cherchent pas à se renseigner plus loin.

Il commence à en être de même sous UNIX, et c'est bien dommage.
C'est grosso modo toujours un problème d'interface chaise/clavier, qu'il s'agisse de windows (quoique souvent, dans le cas de windows, ça se produit à l'insu de l'utilisateur) ou d'unix (où là on te demande gentiment ton mot de passe root pour installer une cochonceté)


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]