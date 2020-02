Une vulnérabilité a été découverte dans ‘Sudo’, un utilitaire puissant utilisé dans le terminal macOS, qui pourrait permettre aux utilisateurs disposant de privilèges restrictifs ou de logiciels malveillants d’exécuter des commandes avec des privilèges de niveau administratif, ce qui pourrait entraîner la perte ou vol de données utilisateur sur des Mac non corrigés.

Sudo est un utilitaire important dans macOS et d’autres systèmes basés sur Unix, y compris Linux, avec généralement utilisé pour exécuter des commandes administratives avec les privilèges de sécurité d’un superutilisateur ou “root”. Il s’agit d’un élément bien utilisé de la maintenance et de la configuration du système via le terminal et qui peut causer des ravages s’il est mal utilisé.

Trouvé par l’employé de sécurité Apple Joe Vennix, la vulnérabilité dans sudo est une vulnérabilité d’élévation de privilèges, qui a reçu le code de suivi CVE-2019-18634. À la base, la vulnérabilité peut permettre à un utilisateur qui ne dispose généralement pas des autorisations d’effectuer des tâches nécessitant un accès administratif pour le faire.

Pour les versions de sudo antérieures au 1.8.26, The Hacker News signale qu’un problème de dépassement de tampon basé sur la pile est présent, nécessitant que l’option “pwfeedback” soit activée dans le fichier de configuration sudoers. Cette fonctionnalité fournit aux utilisateurs un astérisque lorsqu’ils saisissent un mot de passe dans Terminal.

Bien qu’il ne soit généralement pas activé par défaut dans de nombreux packages si pwfeedback est activé, l’exploit lui-même peut être effectué par n’importe quel utilisateur d’un système, même sans accès aux autorisations sudo.

Selon le développeur sudo Todd C. Miller, le bogue peut être observé “en passant une grande entrée à sudo via un canal quand il demande un mot de passe”. Comme l’attaquant a «un contrôle total sur les données utilisées pour déborder le tampon», cela signifie qu’il existe une «forte probabilité d’exploitabilité».

La semaine dernière, Apple a publié une mise à jour de correctif pour macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Catalina 10.15.2 pour résoudre le problème. Vennix a signalé le problème à l’équipe de maintenance de sudo, qui a publié un correctif corrigeant le problème, portant sudo à 1.8.31.

La publication des correctifs, ainsi que l’impossibilité d’activer pwfeedback dès le départ, rendent improbable que la plupart des utilisateurs soient affectés par des attaques utilisant la vulnérabilité.

Même ainsi, les utilisateurs finaux peuvent vérifier si leur Mac est toujours affecté en exécutant la commande “sudo -l” dans le terminal macOS et en voyant si pwfeedback est répertorié sous “Entrées par défaut correspondantes”. Dans les cas où il est activé mais que macOS n’a pas été corrigé, il peut être désactivé en changeant “Defaults pwfeedback” en “Defaults! Pwfeedback” dans le fichier de configuration sudoers.

Ce n’est pas le premier problème sudo que Vennix a découvert. En 2019, un exploit a permis à de mauvais acteurs d’exécuter de manière similaire des commandes en tant que root, en spécifiant leur ID utilisateur comme “-1” ou “4294967295”.