Le malware OSX/Linker

Classé dans : À la une, Logiciels et solutions | 0

Intego a récemment découvert un nouveau logiciel malveillant sur Mac, OSX/Linker, capable d’exploiter une faille dite « zero-day » récemment révélée dans le système de protection Gatekeeper de macOS.

Pour rappel, Gatekeeper est une technologie intégrée dans macOS supposée vérifier les applications téléchargées depuis Internet, en pointant du doigt soit les applications dont la signature développeur est révoquée, soit celles qu’Apple a référencées comme malveillantes, avant d’autoriser leur exécution.

Or un spécialiste en sécurité, Filippo Cavallarin, a révélé le 24 juin dernier une faille, la vulnérabilité « MacOS X GateKeeper Bypass », exploitant le fait que macOS traite les applications chargées à partir d’un partage réseau de manière différente des applications téléchargées à partir d’Internet. En créant un lien symbolique vers une application hébergée sur un serveur NFS (Network File System) contrôlé par un attaquant, puis en créant une archive .zip contenant ce lien symbolique et en demandant à la victime de la télécharger, l’application ne serait pas vérifiée par le système XProtect d’Apple. Intego aurait démontré que ce système fonctionnerait également à partir d’une image-disque (.DMG), et non seulement à partir d’une archive .ZIP.

Le détail technique est disponible sur le site d’Intego en anglais.