L’année dernière, des chercheurs travaillant pour le compte de Zimperium Mobile Security ont divulgué une faille de sécurité extrêmement répandue dans le code source d’Android Open Source Project (AOSP). Ils l’ont nommée Stagefright, du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Les versions d’Android qui étaient vulnérables étaient celles qui étaient postérieures à Android 2.2, soit approximativement 95 % du parc Android à ce moment (environ 950 millions d’appareils).Des failles ont été découvertes par Tyler Bohan, ingénieur appartenant à la division Talos de Cisco. Elles rappellent beaucoup Stagefright dans la mesure où elles résident dans la façon dont certains produits Apple gèrent le traitement des images, des produits tournant notamment sur OS X, iOS, tvOS et watchOS.
La faille répertoriée comme étant CVE-2016-4631 concerne le format TIFF (Tagged Image File Format), très prisé dans l’industrie de la photographie parce qu’il permet l’archivage en se servant de nombreux types de compression, avec ou sans perte de données.
Ici, Bohan a découvert une vulnérabilité dans la façon dont l’API Image I/O parse et gère les fichiers image TIFF. Lors du rendu par les applications faisant appel à cette API, une image par bloc TIFF spécialement conçue pourrait être utilisée pour créer un débordement de mémoire tampon et parvenir à l’exécution de code à distance sur les systèmes et les appareils vulnérables.
« Cette vulnérabilité est particulièrement préoccupante, car elle peut être déclenchée dans toute application qui se sert de l’API Image I/O lors du rendu des images par bloc TIFF. Cela signifie qu'un attaquant pourrait fournir une charge utile qui exploite cette vulnérabilité en utilisant un large éventail de vecteurs d'attaque potentiels, y compris iMessages, des pages web malveillantes, des messages MMS, ou d'autres pièces jointes malveillantes ouvertes par toute application qui utilise l'API Image I/O pour afficher ces types de fichiers », a commenté Bohan.
Il a précisé « qu’en outre,.en fonction du mode de livraison choisi par un attaquant, cette vulnérabilité est potentiellement exploitable par des méthodes qui ne nécessitent pas d'interaction explicite d’un utilisateur étant donné que de nombreuses applications (par exemple iMessage) tentent automatiquement de rendre les images lorsqu’elles les reçoivent dans leurs configurations par défaut ».
Une fois exécuté, un exploit pourrait faire fuiter des identifiants sauvegardés dans la mémoire du dispositif. Cependant, grâce à la protection qu’offre le bac à sable d’iOS, un attaquant ne saurait prendre le contrôle total du dispositif en passant par un exploit de ce type.
Dans un entretien avec le quotidien Forbes, Bohan a décrit ce problème comme étant « une vulnérabilité extrêmement critique qui est comparable à Stagefright à mesure que l’exposition avance ». « Le destinataire d’un MMS ne pourrait en empêcher l’exploitation et le MMS est un mécanisme de stockage et livraison. Aussi, je pourrais diffuser l’exploit aujourd’hui et vous le recevrez dès que votre téléphone sera en ligne », a-t-il ajouté.
Les versions vulnérables à cette faille sont OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 OSX El Capitan - 10.11.5, iOS 9.3.2, watchOS 2.2.1 et tvOS 9.2.1
Deux autres failles, concernant cette fois-ci le format OpenEXR, ont été répertoriées comme étant CVE-2016-4629 et CVE-2016-4630. Un fichier malveillant OpenEXR peut-être créé et conduire l’API Image I/O à écrire l’information contenue dans l’image dans la mémoire se situant en dehors de la mémoire tampon de destination.
Étant donné que l’API Image I/O a une vulnérabilité dans sa façon de gérer les données compressées B44 à l’intérieur des fichiers OpenEXR, Bohan estime qu’en manipulant le contenu de la mémoire pour établir la configuration nécessaire, ces deux vulnérabilités peuvent être utilisées pour provoquer l'exécution de code à distance sur le périphérique.
Les versions vulnérables à ces failles sont OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 et OSX El Capitan - 10.11.5.
La faille CVE-2016-1850 pour sa part concerne le format Digital Asset Exchange. Bohan affirme qu’il est possible de transmettre un fichier Digital Asset Exchange spécialement conçu à Scene Kit afin que le framework accède à un objet d'un type en le gérant comme s’il s’agissait d’un autre type. Dans ces circonstances, il est possible d'effectuer des opérations sur l'objet typé de façon incorrecte qui accède à la mémoire située au-delà des limites. Cette vulnérabilité peut être exploitée pour causer ensuite l'exécution de code à distance sur le périphérique.
Ici, Talos indique que OSX El Capitan - 10.11.4 est vulnérable.
Et enfin la faille CVE-2016-4637 concerne le format BMP. Le fichier en-tête de BMP contient des informations sur la taille, la disposition, mais aussi le type d’image. Bohan a découvert une vulnérabilité dans la façon dont la propriété de la hauteur d'une image est traitée. Elle peut être exploitée lorsqu'un fichier image BMP spécialement conçu est sauvegardé, puis ouvert et une partie de l'information de taille est manipulée. L'exploit conduit à une écriture hors des limites résultant à une exécution de code à distance lors d’une ouverture de l’image par n’importe quelle application utilisant l'API Core Graphics d’Apple.
Les versions vulnérables sont OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OSX El Capitan - 10.11.5, iOS 9.3.2, watchOS 2.2.1 et tvOS 9.2.1.
Apple a fourni des correctifs de sécurité avec iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2 et El Capitan v10.11.6.
Source : blog Cisco Talos, Forbes, iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2, El Capitan v10.11.6, App Sandboxing (Apple)
Voir aussi :
La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright, qui permet de contrôler un appareil en se servant d'un MMS