Apple a corrigé une vulnérabilité zero-day dans macOS exploitée dans la nature par le malware Shlayer pour contourner les contrôles de sécurité de File Quarantine, Gatekeeper et Notarization d’Apple et télécharger des charges utiles malveillantes de deuxième étape.

Les créateurs de Shlayer ont déjà réussi à obtenir leurs charges utiles malveillantes via le processus de notarisation automatisé d’Apple auparavant.

Si elles réussissent ce contrôle de sécurité automatisé, les applications macOS sont autorisées par Gatekeeper, une fonction de sécurité macOS qui vérifie si les applications téléchargées ont été vérifiées pour un contenu malveillant connu, à s’exécuter sur le système.

Dans le passé, Shlayer a également utilisé une technique vieille de deux ans pour augmenter les privilèges et désactiver le Gatekeeper de macOS pour exécuter des charges utiles de deuxième étape non signées dans une campagne détectée par l’unité d’analyse des menaces de Carbon Black.

Zero-day exploité dans la nature pour déployer des logiciels malveillants

L’équipe de détection de Jamf Protect a découvert qu’à partir de janvier 2021, les acteurs de la menace Shlayer ont créé des échantillons Shlayer non signés et non notifiés ont commencé à exploiter une vulnérabilité zero-day (suivie comme CVE-2021-30657), découverte et signalée à Apple par l’ingénieur en sécurité Cedric Owens.

Comme l’a révélé le chercheur en sécurité Patrick Wardle, ce bogue désormais corrigé tire parti d’une faille logique dans la façon dont Gatekeeper vérifiait si les bundles d’applications étaient notariés pour fonctionner sur des systèmes macOS entièrement corrigés.

Wardle a ajouté que « cette faille peut entraîner une classification erronée de certaines applications et entraînerait ainsi le fait que le moteur de politique ignore la logique de sécurité essentielle telle que l’alerte de l’utilisateur et le blocage de l’application non approuvée. »

Contrairement aux variantes précédentes qui obligeaient les victimes à cliquer avec le bouton droit de la souris, puis à ouvrir le script d’installation, les variantes récentes de logiciels malveillants abusant de ce jour zéro et distribuées à l’aide de résultats de moteurs de recherche empoisonnés et de sites Web compromis peuvent être lancées en double-cliquant.

Aujourd’hui, Apple a publié une mise à jour de sécurité pour corriger la vulnérabilité dans macOS Big Sur 11.3 …