Mac4Ever

arnaud · Vénérable Gros - Admin Inscrit le: 17 Sep 2007 Messages: 4463

Sécurité : le troyen d'Apple Remote Desktop

L'histoire se déroule en deux temps : d'abord, techniquement, une faille de sécurité a été découverte dans un composant utilisé par Apple Remote Desktop, le logiciel de prise de contrôle à distance des Mac édité par Apple.

Au niveau de Léopard, Apple Remote Desktop utilise, pour permettre la prise de contrôle de la machine distante, ARDAgent, un utilitaire qui se trouve à ce niveau de votre système :
*code*/System/Library/CoreServices/RemoteManagement*/code*
Cet utilitaire est celui qui répond à une demande prise de contrôle à distance. Problème de sécurité, cet utilitaire fonctionne sous root, le super utilisateur de Mac OS X, mais aussi tous les processus qui lui sont liés. Concrêtement, ceci veut dire qu'un script AppleScript, par exemple, lancé par ARDAgent aura, lui aussi, les droits root. En clair, ce script pourra faire ce qu'il veut de votre machine.

C'est là qu'intervient la seconde partie de l'histoire : SecureMac a identifié un script malicieux de type troyen utilisant cette faille, la chose se nomme AppleScript.THT. Ce script malicieux a été trouvé dans un script AppleScript compilé répondant au doux nom de ASthtv05, ou dans un paquet d'installation nommée AStht_v06. Respectivement 60 Ko et 3,1 Mo de taille pour ces deux fichiers.

Attention donc, pour l'instant, à tout ce que vous téléchargerez qui ressemble à un script. Il faut donc rester vigilant en attendant qu'Apple comble la faille de sécurité permettant l'exploit décrit ci dessus. Dans un premier temps, vous pouvez ACTIVER l'accès ARD depuis vos préférences système, onglet partage (voir capture). Et là, vous êtes tranquille.

Ce n'est pas une bonne journée qui commence.

ACTIVEZ la gestion à distance !

Source

[MAJ : vous l'avez noté sur le forum, à raison. Paradoxalement, c'est en activant la fonction de partage via ARD dans les préférences système qu'on peut empêcher le troyen de fonctionner. Intego a diffusé une alerte sécurité en ce sens.]
_________________
Sac à papier !

Eaglelouk · Posté le: 20/06/08, 7:55 Sujet du message:

Ouaip mais au moins Apple comble vite les failles Très content

Vinc26 · Posté le: 20/06/08, 8:28 Sujet du message:

Et où est-ce qu'on peut le trouver ce script ?

Lux · Posté le: 20/06/08, 8:38 Sujet du message:

Vinc26

Zephir · Posté le: 20/06/08, 8:43 Sujet du message:

et si on utilise le partage d'écran pour se connecter en vnc via le net, on est aussi touché ?

parce que j'ai jamais vraiment compris la différence entre partage d'écran et session à distance… :s

sganiere · Posté le: 20/06/08, 8:48 Sujet du message:

C'est quand meme marrant parce que d'après Intego il faut justement activer cette fonction pour éviter ce problème:

"There are cases where this exploit does not work. If a user has turned on Remote Management in the Sharing pane of System Preferences under Mac OS X 10.5, or if a user has installed Apple Remote Desktop client under Mac OS X 10.4 or earlier and has activated this setting in the Sharing preferences, the exploit will not function."

Petite traduction (approximative): Il y a des cas ou cette faille ne fonctionne pas. Si un utilisateur a activé la gestion à distance dans les préférences système de Mac OS X 10.5, ou s'il a installé la client "Remote Desktop" sous Mac OS X 10.4 et a activé cette fonctionnalité dans les préférences système (Partage).

Alors bon , perso je trouve un peu bizarre de devoir activer la fonctionnalité mise en cause pour ne pas être soumis à cette faille Clin d'oeil

Alucard · Posté le: 20/06/08, 9:06 Sujet du message:

Chez moi c'est de toute façon désactivé....

Obeewan · Posté le: 20/06/08, 9:15 Sujet du message:

Si le service est actif, il peut contrôler l'accès. S'il est inactif, c'est laisser une porte fermée sans serrure...

nikouille · Posté le: 20/06/08, 9:16 Sujet du message:

le script marche, avec le service de gestion à distance désactivé

essayez

Grumff · Posté le: 20/06/08, 9:17 Sujet du message:

Bon en même temps, faut déjà télécharger volontairement le script en question, le lancer, et accepter les messages d'avertissement que mac os x ne manquera pas de nous afficher.
Bref, c'est un cheval de Troie, pas un virus, donc le risque est pas bien grand.

Soner · Posté le: 20/06/08, 9:25 Sujet du message:

Comme je m'en doutais, certains tentent de minimiser la chose dans les commentaires. Que vous le vouliez ou non, c'est une belle saloperie qu'on a là.
Bon, si le destin d'OS X est de finir comme un vulgaire Windows, je n'aurais d'autres choix que de migrer vers Linux ce coup ci...

Bicus · Posté le: 20/06/08, 9:27 Sujet du message:

Contrairement à ce qu'on pourrait croire en entendant que ARD est touché, c'est bien d'une faille locale dont il s'agit et pas d'une prise de contrôle à distance : si la gestion à distance (ARD) est désactivée, un compte local (genre le compte invité, ou tout compte non-admin) peut dire à ARD de faire des choses en tant que root.

Paradoxalement, il faut donc activer le service ARD pour la gestion à distance, afin d'en désactiver la faille locale (si j'ai bien compris).

Intego VirusBarrier désactive la faculté de ARD à lancer des scripts localement
_________________
En dessous de ce trait c'est ma signature automatique, donc ça n'a pas forcément de rapport direct avec ma réponse...
Dans le doute, dites-vous que c'est de l'humour...
Boîte à outils : Réparer les autorisations / Réinitialiser la PRAM / Safe boot / Archiver et installer

Macleone · Posté le: 20/06/08, 9:28 Sujet du message:

Si vous voulez vraiment combler la faille, il faut faire un

Macleone · Posté le: 20/06/08, 9:30 Sujet du message:

j0sS · Posté le: 20/06/08, 11:28 Sujet du message:

Les commandes Terminal "fonctionnent" chez moi alors que j'ai la Gestion à distance activée... Choqué