Mac : une faille confère au hacker le statut de « super administrateur »
Après qu'il a modifié la date

Le , par Stéphane le calme, Chroniqueur Actualités
La commande « sudo » permet aux administrateurs d’exécuter des commandes sous un autre nom d’utilisateur, y compris l’utilisateur « root ». Lorsque vous exécutez cette commande, vous êtes invité à saisir le mot de passe du compte d’administrateur avec lequel vous ouvrez une session.


En mars, une vulnérabilité de contournement de l’authentification résidant dans le composant Unix « sudo » a été reportée. En invoquant la commande « sudo » puis en réinitialisant la date au 1er janvier 1970, il est possible pour les hackers de se connecter en « root » sans renseigner de mot de passe.

Les développeurs de Metasploit ont récemment ajouté un module permettant d’exploiter aisément la vulnérabilité affectant sudo sur Mac. La faille affecte les versions d’OS X de 10.7 à 10.8.4. Bien qu’elle affecte aussi d’autres distributions Linux, la plupart d’entre elles requiert un mot de passe pour pouvoir modifier la date et l’heure de l’ordinateur.

Toutefois, pour pouvoir exploiter cette vulnérabilité, un hacker doit satisfaire à certaines conditions. La première est que l’utilisateur final connecté dispose déjà des privilèges « administrateur ». La seconde est que cet utilisateur ait déjà exécuté sudo au moins une fois par le passé avec succès. Et enfin le hacker doit avoir un accès physique ou à distance à la machine cible.

Pour HD Moore, le fondateur du projet Metasploit, cette faille est majeure ; et il ajoute « je pense qu’Apple devrait le prendre plus sérieusement », bien qu’il précise ne pas être surpris par la lenteur de la réponse de la firme.

Sources : Sudo, CVE-2013-1775

Et vous ?

Qu'en pensez-vous ?


 Poster une réponse

Avatar de martopioche martopioche
Membre éclairé
le 03/09/2013 11:03
Donc si un utilisateur a les droits admin, il peut prendre les droits admin... Ok... Majeur.

Oui je sais, si l'utilisateur se fait déjouer son mot de passer par un Hacker... Mais dans ce cas, le Hacker a le mot de passe... Bon, si l'utilisateur quitte son post avec une session ouverte, un peu comme si il venait d'exécuter une commande Sudo et va prendre un café session ouverte...
Avatar de kOrt3x kOrt3x
Responsable Mac & iOS
le 03/09/2013 11:22
La faille n'est pas présente sous Mavericks (10.9), Apple va donc conseiller ces utilisateurs de passer rapidement sous la prochaine version.

Sont pas bêtes chez Apple.
Avatar de LSMetag LSMetag
Membre Expert
le 03/09/2013 12:32
Ou si quelqu'un réussi à prendre le contrôle à distance de sa session actuelle, il peut exécuter Sudo.

C'est pour ça que c'est majeur.
Avatar de the_babou the_babou
Membre du Club
le 03/09/2013 13:31
martopioche:
Ce n'est pas tout à fait ça (si j'ai bien compris).
Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).
Le problème sur OSX est qu'il est possible de changer la date sans droit admin alors que selon les distributions linux, il est souvent nécessaire d'être connecté comme admin pour changer la date, le serpent qui se mord la queue !

Note: Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut. Je me demande en quoi cela peut affecter cette faille ?
Avatar de martopioche martopioche
Membre éclairé
le 03/09/2013 14:21
Citation Envoyé par the_babou  Voir le message
martopioche:
Ce n'est pas tout à fait ça (si j'ai bien compris).
Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).

À condition que l'utilisateur soit sudoer. Donc soit c'est l'utilisateur et il a le droit, soit son compte est utilisé par un tiers et déjà là j'ai un problème...
Avatar de coolspot coolspot
Membre confirmé
le 03/09/2013 15:54
Citation Envoyé par the_babou  Voir le message
martopioche:
Ce n'est pas tout à fait ça (si j'ai bien compris).
Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).
Le problème sur OSX est qu'il est possible de changer la date sans droit admin alors que selon les distributions linux, il est souvent nécessaire d'être connecté comme admin pour changer la date, le serpent qui se mord la queue !

Note: Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut. Je me demande en quoi cela peut affecter cette faille ?

C'est surtout que cette faille sur sudo date de février/mars et a été corrigé il y a quelque temps déjà sous GNU/Linux.
Reste à voir pourquoi OSX n'a pas fixé le truc alors que ca l'est depuis belle lurette sous les distribution GNU/Linux maintenu.

Pour le cas de la distribution que j'utilise (Ubuntu) : http://www.ubuntu.com/usn/USN-1754-1/

Bref encore une fois ca montre les faiblesses des système privateur absolument pas réactif face à ses concurrent libre.

Par contre cette article fait erreur en supposant que la faille est encore présente sur GNU/Linux. Elle a été corrigé déjà.
Avatar de gretro gretro
Membre du Club
le 04/09/2013 1:31
Bah, c'est pas vraiment révélateur comme faille. Sur n'importe quel mac, il suffit de démarrer en maintenant les touches Command + S pour devenir super-root. On peut alors faire tout ce qu'on veut sans même s'identifier et le pire est que le root ne peut rien y faire.

Bref, dès qu'on a un accès physique, c'est raté déjà. Et puis, si la personne a autorisé un accès distant, c'est qu'elle savait déjà ce qu'elle risquait et que son mot de passe a déjà été compromis. Alors ce n'est pas faille de sécurité pour laquelle je m’inquiéterai sur mon Mac...
Avatar de ALT ALT
Membre Expert
le 06/09/2013 10:37
Citation Envoyé par gretro
dès qu'on a un accès physique, c'est raté déjà

Ah ben oui, quand on a un accès physique à une machine, il est rare qu'une protection du système fonctionne.
En revanche, je suppose qu'on peut se connecter à distance sur une machine sans connaître le moindre mot de passe. C'est d'ailleurs ce que font les pirates tous les jours, grâce, entre autres, à quelques logiciels malveillants. Même sur machine Apple.
La faille est donc, qu'en ne connaissant pas le mot de passe de l'utilisateur connecté on peut prendre le contrôle total de la machine.

Citation Envoyé par [B
the_babou[/B]]Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut.

Perdu !
Root existe mais n'a pas de mot de passe, ce qui le désactive. D'où l'échec de
Code :
sudo su
Maintenant, fais
Code :
sudo passwd root
mets un mot de passe & tu verras que le compte root existe.
Avatar de kOrt3x kOrt3x
Responsable Mac & iOS
le 13/09/2013 9:30
La mise à jour 10.8.5 sortie hier soir comble cette faille de sécurité.

Alors, tous à vos mise à jour.
Offres d'emploi IT
INGENIEUR SUPPORT CLIENT Junior (H/F)
CDI
Kacileo - Ile de France - Poste basé Paris 17ème)
Parue le 08/04/2014
Développeur PHP-Zend H/F
CDI
Paris Incubateurs - Ile de France - Paris
Parue le 21/03/2014
Développeur PHP5 / Symfony 2 confirmé
CDI
JL Recrutement - Ile de France - Paris
Parue le 25/03/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula