Injection en mémoire de codes malicieux pour Apple Mac OS X

Par Xavier Poli, secuobs.com
Le 22/01/2009

---

Résumé : Vincento Iozzo aurait découvert une nouvelle technique permettant d'effectuer furtivement une injection de codes malicieux dans la mémoire des ordinateurs qui exécutent les systèmes d'exploitation Apple Mac OS X. - Lire l'article



Vincento Iozzo, chercheur en sécurité informatique, vient de révéler qu’il aurait découvert un nouveau moyen de procéder à l’injection de codes hostiles au sein de la mémoire des ordinateurs qui sont régis par les systèmes d’exploitation de type Apple Mac OS X. La technique en question pourrait à l’avenir complexifier de façon considérable les opérations de recherche de preuves qui seront menées sur les machines exploitées et compromises par des attaques réalisées dans ce cadre.

Concrètement, cet étudiant de l’école polytechnique de Milan n’a pas encore publié l’ensemble des détails relatifs à cette méthode puisqu’elle fera l’objet d’une présentation effectuée lors de la prochaine édition des conférences Black Hat ( lien ). Une conférence qui se tiendra à Washington le mois prochain et où l’on pourra également retrouver la présentation de Rafal Wojtczuk et Joanna Rutkowska sur l’exploitation de la technologie TXT de la gamme Intel vPro ( lien

L’injection en mémoire de codes malicieux n’est pas une technique révolutionnaire en soi puisque cela est réalisable de façon similaire ( lien ) depuis plusieurs années déjà pour les codes à destination des systèmes de type Microsoft Windows et GNU/Linux. Cependant cela constituerait une première historique pour les systèmes Apple Mac OS X, pourtant réputés jusqu’à présent pour leur conception « à toute épreuve » en matière de prévention d’exécution de codes non désirés.

Cette technique d’injection en mémoire pourrait ainsi permettre à un attaquant d’installer des logiciels non autorisés sur un système Mac OS X sans pour autant laisser une quelconque trace sur les disques dur de la cible. C’est ce point en particulier qui confèrera aux attaques, qui en découleront, cet aspect furtif qui accentuerait la difficulté de détection et de prévention pour les systèmes de sécurité éventuellement en présence ; autant que le fait qu’aucune création de nouveau processus ne soit nécessaire à sa mise en œuvre.

Il est donc à prévoir une forte recrudescence des codes malicieux qui utiliseront à l’avenir cette technique de furtivité dans le but de compromettre de façon discrète la sécurité des systèmes d’exploitation Mac OS X. D’après Charles Miller, un expert dans le domaine de la sécurité de ces systèmes ( Independant Security Evaluators - lien ), elle pourrait par ailleurs être probablement étendue plus largement afin de permettre l’installation d’applications non autorisées sur les équipements mobiles de type Iphone.

Cette technique aurait plus particulièrement été découverte suite à une étude approfondie des tenants et des aboutissants liés aux fichiers exécutables au format Mach-O ( lien ), un format spécifique aux systèmes d’exploitation Mac OS X. En observant ainsi la façon dont Mac OS X traite l’exécution de ces fichiers en mémoire, le chercheur italien aurait réussi à identifier une voie de contournement au chargement traditionnel des binaires effectué habituellement au sein de ces systèmes d’exploitation.

Il précise d’ailleurs que cette technique consisterait tout autant en un contournement du système de randomisation des espaces d’adressage mémoire ASLR ( voir notre dossier - lien ) que ces derniers intègrent ; ASLR prévalant en général de certaines activités malveillantes en rendant aléatoire l'espace d'adressage de zones mémoire spécifiques. Ce contournement serait notamment possible de par le fait que l’éditeur de liens dynamiques ( lien ) se trouve toujours situé à la même adresse mémoire, permettant ainsi de prédire la position des autres librairies nécessaires au succès de l’exploitation.

Ce dernier élément impliquerait néanmoins la nécessité préalable de l’exploitation d’une autre vulnérabilité qui soit propre au système d’exploitation Mac OS X ou aux applications qui y sont exécutées comme Safari, iTunes, iWork ou autres. Cette technique ne rendrait donc en soi pas plus facile la compromission d’un système Mac OS X et l’exploitation de failles potentielles, mais elle permetrait tout de même à un attaquant de cacher de façon plus efficace les traces qui pourraient résulter de ses activités malveillantes.

Des traces qui seraient certes dissimulées en profondeur mais qui ne revêtiraient pas pour autant un caractère totalement indétectable puisque la récupération d’un instantanée de la mémoire virtuelle pourrait être effectuée à un moment donnée afin d’y mener ultérieurement une inspection minutieuse visant à détecter des preuves de l’attaque en cours grâce à l’utilisation de procédures de Forensic ( voir notre dossier - lien ) spécifiques à cela.

Source : Black Hat ( lien )