macOS a fait partie des plateformes prises en défaut avec succès par des spécialistes en sécurité lors de la conférence Pwn2Own 2023. Et un pactole à la clef pour ces as du clavier.
L'événement qui se déroule pendant trois jours à Vancouver est l'occasion pour des chercheurs de mettre en évidence des failles de sécurité et s'ils y parviennent dans les conditions requises (démo en direct avec 3 essais de 10 minutes chacun), de repartir avec de grosses récompenses. Lors de la précédente édition, les organisateurs et leurs sponsors avaient distribué un million de dollars.
Pour ce rendez-vous canadien, macOS et Safari faisaient partie des cibles proposées, en plus de différentes applications et systèmes de Microsoft, Mozilla, Google, Adobe, Oracle, VMware, Ubuntu ou Tesla pour ses logiciels embarqués (le constructeur est aussi un sponsor).
Le kernel de macOS a révélé une vulnérabilité de type TOCTOU (Time of check to time of use). Le principe, pour l'attaquant, consiste à s'immiscer pour obtenir la modification d'un fichier sur lequel il n'a pas les droits d'accès. Il substitue pour cela un fichier par un autre entre sa vérification et sa validation par le système.
Success! @Synacktiv used a TOCTOU bug to escalate privileges on Apple macOS. They earn $40,000 and 4 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/IS5AFBn3Lm
— Zero Day Initiative (@thezdi) March 22, 2023
La faille de macOS trouvée par l'équipe de Synacktiv leur permet d'empocher 40 000 $. Mais ce n'est pas tout. Ils ont su exploiter de la même manière un défaut dans un logiciel de Tesla et gagner 100 000 $ ainsi que la Model 3 qui a servi à leur démonstration.
Il est possible qu'ils doublent largement la mise en s'attaquant à Windows 11, à Ubuntu et au système d'infotainement de Tesla (ils repartiraient avec un deuxième véhicule, une Model S et un peu moins de 200 000 $ supplémentaires) d'ici la fin des épreuves ce 24 mars.
One of the main highlights from Day One of #Pwn2Own Vancouver 2023: @Synacktiv vs the Tesla Model 3. Their successful demonstration earned them $100,000 and the car itself pic.twitter.com/d7TY5mKHxK
— Zero Day Initiative (@thezdi) March 23, 2023
Les principaux navigateurs web du marché, dont Safari, pouvaient aussi servir de proie, mais ils n'ont pas fait l'objet d'une chasse à la faille. Lors des deux autres journées de la conférence, aucun autre logiciel ou système d'Apple n'était inscrit au programme des tentatives de piratage.
