XARA (CORED) : une nouvelle faille de sécurité chez Apple !

Les problèmes de sécurité de la semaine dernière à peine diffusés, et quelle surprise ! : un nom plutôt marrant circule, et fait déjà parler de lui.

Les experts qui ont rédigé le rapport, ont décidé de la nommer XARA, rien à voir à priori avec le fait qu’ils aient dû appeler leur outil pour détecter XARA du nom de XAVUS.

Les failles de sécurité qu’ils ont trouvées, font partie des systèmes d’exploitation OS X et iOS. De leur côté, nos amis chez The Register n’ont trouvé aucune XARA.

XARA, signifie Cross-App Resource Access, et l’un des principaux problèmes avec XARA, est une faille au niveau de l’élévation des Privilèges, qui donne à une application X, un accès non autorisé aux entrées d’une application Y, au sein du trousseau d’Apple (keychain).

Comprendre le principe de trousseau

Un trousseau est un composant du système d’exploitation où les éléments tels que les mots de passe, les jetons de sécurité, les identifiants, et autres données confidentielles liées aux applications sont stockées.

L’objectif est délibérément d’empêcher aux applications l’accès aux données d’autres applications, même si ces applications tournent sous le même compte d’utilisateur.

Traditionnellement, un logiciel cache ces données sensibles dans des fichiers confidentielles, eux-mêmes dans des répertoires confidentiels (ou bien dans un registre, qui est une sorte de fichier-répertoire sous Windows), et se base sur les fréquents ACL (Access Control List), émanant du système d’exploitation, afin de réguler les accès.

Ainsi, mes applications ne pouvant pas lire les données de vos applications, considérant que nous sommes des utilisateurs avec des logins différents sur le même ordinateur : une très bonne chose à priori.

Bien sûr, cela signifie que mes applications pouvant aisément avoir accès aux données des unes et des autres, dans la mesure où ces dernières sont considérées comme “mes données”, accessibles donc à tout moment.

Mais, aujourd’hui, avec l’architecture de type Cloud, et dans ce monde continuellement connecté, ce principe facilite la vie des malwares.

En lançant un programme suspect, et en donnant par inadvertance la permission de se connecter à mon compte Facebook, le principe du “diviser-pour-régner” nous dit qu’il est fortement souhaitable qu’un malware ne puisse pas avoir accès, dans la foulée et assez simplement, aux comptes Twitter, Snapchat et Outlook.com.

Ainsi, le trousseau se résume comme : un système de “diviser-pour-régner”, au sein du système d’exploitation, permettant l’authentification des données relatives aux applications.

Le trousseau, fonctionne de la même manière que le principe de “même origine” au niveau des navigateurs web. En effet, même si je visite 2 sites internet différents au même moment, le navigateur conserve les données séparées, pour ma plus grande sécurité.

Ainsi, avec le trousseau comme outil central d’Apple, pour la gestion des identifiants, et après que nos experts aient découvert comment se frayer un chemin au travers de ce composant, The Register a tout logiquement nommé cette faille CORED, en utilisant comme titre “APPLE CORED”.

Ainsi, le système définitivement CORED.

Quelle logique est utilisée par les hackers

L’article technique est plutôt complet. En fait, nous continuons de l’étudier en détails, mais il semblerait que la faille XARA soit la plus importante. Ils donnent, d’ailleurs, des informations surprenantes sur la manière avec laquelle les hackers procèdent lorsqu’ils pénètrent au sein d’un protocole de sécurité.

Les auteurs ont trouvé un moyen d’exploiter le fait que le trousseau ne soit pas aussi simple que l’équivalence suivante : une application=un mot de passe de stockage.

Si cela marchait réellement ainsi, il n’y aurait pas de faille, et le trousseau serait beaucoup plus simple à tester afin d’y apporter les corrections nécessaires en terme de sécurité.

Cependant les développeurs de logiciels seraient mécontents d’une telle situation, car il serait alors impossible pour des applications complémentaires, de partager des données confidentielles telles que les noms de comptes et les identifiants associés.

Ainsi, les experts ont réalisé qu’ils pouvaient exploiter ce qui s’appelle concrètement une situation de compétition (race condition), dans laquelle 2 processus accèdent à la même ressource. Si le processus malveillant accède en premier à la ressource, il peut alors détourner l’opération du deuxième processus, qui est quant à lui valide.

Gagner la course

Vous avez, par exemple, une application installée qui s’appelle SocialNet, mais vous ne vous êtes pas encore connecté avec cette dernière. Aucune entrée n’est encore créée, au niveau du trousseau avec vos identifiants.

Au moment de votre première connexion, un élément sera créé au niveau du trousseau qui se dénomme logincookie, et qui sauvegarde les données confidentielles. Le malware ne pourra pas les lire sans vous alerter de sa tentative d’intrusion, en affichant par exemple une fenêtre d’administration.

Jusque-là, c’est ce que vous pensez qu’il se passe !

Cependant dans notre cas, mon malware peut créer son propre logincookie, et dire au trousseau : “Au fait, j’autorise SocialNet à accéder aussi à cet élément”.

Ainsi, lorsque vous vous connecté à SocialNet, il y a une grande chance (à moins que les développeurs de SocialNet aient décidé de prendre en compte ce type de stratagème), pour que l’application sauvegarde son cookie de session dans l’espace déjà crée, au niveau du trousseau.

Au final, mon malware peut le lire, sans éveiller les soupçons par une quelconque alerte.

En réalité, la situation est pire que cela, car même si SocialNet a déjà créé son logincookie, mon malware peut aller jusqu’à effacer ces données, sans authentification.

Bien sûr, en effaçant vos identifiants et en dé-authentifiant votre application, un déni de service peut alors être généré (DoS), par une diminution des privilèges.

Mais, à priori, l’effacement des cookies de session, ne devrait en tout cas pas augmenter les privilèges pour une application non autorisées.

Cependant, une fois que j’ai effacé cet élément du trousseau, une situation de compétition est créée, grâce à laquelle je peux le créer de nouveau, de sorte que votre application et la mienne puissent le lire dans le futur.

Voici les aléas et les situations complexes, difficiles à anticiper, lorsqu’il s’agit des protocoles de sécurité !

La suite ?

Selon les experts, qui ont découvert des failles de sécurité de type cross-app similaires dans d’autres protocoles inter-app au sein de OS X et d’iOS, ces problèmes font partie du noyau même du système d’exploitation, et nous avons besoin d’une mise à jour d’Apple pour se débarrasser de ces failles définitivement.

En parallèle, et de manière complémentaire, les applications peuvent adopter une stratégie de programmation plutôt défensive, pour faciliter la lutte contre ces failles de sécurité XARA, à présent qu’elles sont connues et documentées.

Selon le rapport publié par The Register, les experts déclarent avoir alerté Apple il y a plus de 6 mois. Ils ont alors décidé de publier leur étude, ne voyant aucune réponse venir de la part de Cupertino.

Les experts ont aussi déclaré qu’ils avaient créé des malwares capables d’exploiter les failles de sécurité XARA découvertes. Ils ont passé avec succès les protocoles de vérification d’Apple et ont été acceptés par l’App Store !

Quoi faire ?

Vous ne pouvez malheureusement pas faire grand-chose.

Néanmoins, les points suivants vous permettront de limiter les risques :

• Apple, nous l’espérons, s’occupe des applications qui exploitent ces failles, rendant ainsi peu probable que des malwares, utilisant XARA, réussissent à duper l’App Store de nouveau.
• Les applications malveillantes peuvent déjà récupérer vos identifiants sans pour autant exploiter des éléments du trousseau ou des failles telles que XARA. Ainsi continuez d’utiliser un logiciel anti-virus.
• Grâce à ce rapport, les outils de prévention des menaces peuvent maintenant détecter et bloquer les failles de sécurité de type XARA (CORED), en espérant éviter toute polémique, même si des problèmes de détection apparaissent lorsqu’il s’agit d’applications officielles.

Vous devez certainement être surpris de voir à quel point l’ajout de détections et de blocages, même concernant des applications connues pour être malveillantes, peut devenir compliqué, pour un expert en sécurité, si cette dernière a une once de légitimité.

En fait, vous ne devriez pas être surpris !

Après tout, si nous pouvions bloquer un code entièrement sur la base des risques encourus, et sans référence à ces origines, il n’y aurait plus beaucoup de Windows XP encore en circulation !

Sophos Anti-Virus pour Mac Edition Familiale

Vous voulez garder le contrôle sur les malwares (XARA ou autres), les liens web malveillants et les autres menaces contre votre Mac adoré ?

Sophos Anti-Virus pour Mac Edition Familiale est totalement gratuit (une adresse mail est à fournir), avec aucune date d’expiration, ni de date limite au niveau des mises à jour.

Sophos pour Mac bloque également les menaces sous Windows, ainsi il protège également les utilisateurs non-Mac, avec qui vous partagez des fichiers.

Vous pouvez choisir entre : le blocage des virus en temps réel (protection on-access), le scan programmable, ou encore le scan à n’importe quel moment, suivant vos besoins.

Billet inspiré de : “Apple OS X and iOS in the vulnerability spotlight – meet “CORED,” also known as “XARA”” par Paul Ducklin de Naked Security

Partagez “XARA (CORED) : une nouvelle faille de sécurité chez Apple !” avec http://wp.me/p2YJS1-1QG