Si vous visitez aujourd’hui le blog Infosecsellout, vous y trouverez une information annonçant une nouvelle vulnérabilité ciblant Macintosh ainsi qu’un lien vers le site SecurityFocus.
Il n’y a pas de détail dans cette annonce, le titre suggère simplement qu’un ver MAC pourrait être créé en utilisant cette vulnérabilité.
Si j’ai décidé aujourd’hui de parler de cette annonce sur mon blog ainsi que sur celui de McAfee, c’est parce que des informations plus précises et plus intéressantes on été visibles sur ce même site quelques jours plus tôt. En effet, dimanche 15 juillet, on pouvait lire un long texte émanant de celui qui prétend être l’auteur du ver. Il annonçait très clairement ses motivations: “I wrote this for my own purposes and it will be demonstrated to those who asked me to engage in this work. Yes, I am being compensated for this”.
Dans cette contribution, l’auteur dévoilait aussi quelques détails quant à la preuve par l’exemple (PoC) qu’il avait mis au point. Il expliquait que sa création pouvait être très facilement modifiée afin de l’associer à un déclenchement clairement malveillant.
Il indiquait que son code exploitait une variation non patchée d’une vulnérabilité récemment corrigée par Apple (MDNSResponder vulnerability). Selon cette personne, le ver commence par prendre les droits administrateur et compromet ainsi un premier système. Il place un texte sur le bureau (payload) et poursuit sa route à la recherche d’un autre système vulnérable sur le réseau.
Cette histoire prouve 2 choses. La première, c’est que le couple Macintosh / Intel est une cible intéressante. Un programme autoreproducteur malveillant sur cette plateforme est plus que jamais envisageable. La seconde, c’est que l’appât du gain continue à motiver tout une population « de chercheurs » plus ou moins honnêtes. C’est une autre cause d’inquiétude.
Ben non, le lien vers Infosecsellout ne parle pas du tout de virus ou de vers... Quant à SecurityFocus, on lit simplement « Apple Mac OS X mDNSResponder Variant Unspecified Remote Code Execution Vulnerability. The discoverer has created a proof-of-concept exploit, but will not release it to the public ». C'est un peu court, non ? Surtout que ledit chercheur (dont on ignore tout) ne veut pas diffuser son PoC... On peut avoir des détails ?
D.S.
Rédigé par: DS | 20 juillet 2007 à 11:17