actualité
 L'actualité informatique et multimédia
 Mac OS X : une faille critique et un troyen pour l'exploiter
 Et des méthodes pour éviter de se faire avoir
Apple

apple logoUne faille très sérieuse a été trouvé par un lecteur du forum de MacShadows. Cette faille touche le composant ARD (Apple Remote Desktop pour la prise de contrôle à distance) et se trouve exploitable grâce au langage de script d'Apple Applescript. Par un script appelant l'application ARDagent.app, on peut avoir un accès au système en tant que root.

Pour les utilisateurs de Mac il suffit de taper la ligne suivante dans l'éditeur de script :
  • tell application "ARDAgent" to do shell script "whoami"
Sous Mac OS 10.4.x et 10.5.x, touchés par cette faille, le script vous répondra root, ce qui signifie donc l'accès total à la machine.

Il aura suffit de très peu de temps pour qu'on trouve sur les réseaux de P2P un fichier malveillant sous deux formes : ASthtv05 (60 Ko) ou AStht_v06 (3.1 Mo). Ce troyen se copie alors dans le dossier /Library/Caches/ et se lance discrètement au démarrage et peut ensuite :
  • Enregistrer les entrées claviers
  • Activer le partage de fichiers
  • Capturer l'écran
  • Prendre des photos par la webcam
  • Créer un utilisateur administrateur invisible et envoyer toutes les informations nécessaires pour se connecter à la machine avec le compte créé
  • Désactiver certains logs système
  • Ouvrir des ports sur le pare-feu
Comment s'en prémunir ? D'abord, ne pas lancer n'importe quoi venant de n'importe où...

Il y a ensuite plusieurs solutions :
  • La plus simple : activer le service « Gestion à distance » du panneau « Partage » des préférences de votre Mac en vérifiant bien que tout est décoché dans le panneau Options
  • Supprimer les droits root d'ARD : il faut taper la commande suivante dans le terminal : sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
  • Utiliser la faille pour qu'elle se ferme elle-même. Il suffit de taper dans l'éditeur de script : tell application "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"

N'hésitez pas vérifier que la faille est bien inaccessible en exécutant le script :
  • tell application "ARDAgent" to do shell script "whoami"
qui doit maintenant vous renvoyer un message d'erreur.

Attention, pour les deux dernières solutions, une réparation des autorisations de votre système redonnera à ARD tous ses droits. Il faudra donc dans ce cas refaire la manipulation.

Rédigée par le lundi 23 juin 2008 à 11h58 (16037 lectures)
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 171 commentaires dont 171 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

05 juin 2008   Mac OS X 10.6 : en janvier 2009 et pour Intel x64 seulement ?
02 juin 2008   Leopard 10.5.3 : problèmes avec Adobe CS3 et bugs graphiques
29 mai 2008   Mac OS X : Tiger a droit à sa mise à jour de sécurité
29 mai 2008   Leopard : la mise à jour 10.5.3 disponible au téléchargement
23 mai 2008   Leopard 10.5.1 : trois failles majeures dans iCal
17 avril 2008   Safari 3.1.1 colmate plusieurs failles de sécurité
11 avril 2008   Microsoft : se connecter à des PC Windows depuis un Mac
01 avril 2008   PWN2OWN 2008 : Leopard et Vista tombent, pas Ubuntu (MÀJ)

Recherches relatives : mac - osx - apple - faille - ard