Discussion :

[Stéphane le calme]

Mac : une faille confère au hacker le statut de « super administrateur »
après qu'il a modifié la date

La commande « sudo » permet aux administrateurs d’exécuter des commandes sous un autre nom d’utilisateur, y compris l’utilisateur « root ». Lorsque vous exécutez cette commande, vous êtes invité à saisir le mot de passe du compte d’administrateur avec lequel vous ouvrez une session.

En mars, une vulnérabilité de contournement de l’authentification résidant dans le composant Unix « sudo » a été reportée. En invoquant la commande « sudo » puis en réinitialisant la date au 1er janvier 1970, il est possible pour les hackers de se connecter en « root » sans renseigner de mot de passe.

Les développeurs de Metasploit ont récemment ajouté un module permettant d’exploiter aisément la vulnérabilité affectant sudo sur Mac. La faille affecte les versions d’OS X de 10.7 à 10.8.4. Bien qu’elle affecte aussi d’autres distributions Linux, la plupart d’entre elles requiert un mot de passe pour pouvoir modifier la date et l’heure de l’ordinateur.

Toutefois, pour pouvoir exploiter cette vulnérabilité, un hacker doit satisfaire à certaines conditions. La première est que l’utilisateur final connecté dispose déjà des privilèges « administrateur ». La seconde est que cet utilisateur ait déjà exécuté sudo au moins une fois par le passé avec succès. Et enfin le hacker doit avoir un accès physique ou à distance à la machine cible.

Pour HD Moore, le fondateur du projet Metasploit, cette faille est majeure ; et il ajoute « je pense qu’Apple devrait le prendre plus sérieusement », bien qu’il précise ne pas être surpris par la lenteur de la réponse de la firme.


Sources : Sudo, CVE-2013-1775

Et vous ?

Qu'en pensez-vous ?

[martopioche]

Donc si un utilisateur a les droits admin, il peut prendre les droits admin... Ok... Majeur.

Oui je sais, si l'utilisateur se fait déjouer son mot de passer par un Hacker... Mais dans ce cas, le Hacker a le mot de passe... Bon, si l'utilisateur quitte son post avec une session ouverte, un peu comme si il venait d'exécuter une commande Sudo et va prendre un café session ouverte...

[kOrt3x]

La faille n'est pas présente sous Mavericks (10.9), Apple va donc conseiller ces utilisateurs de passer rapidement sous la prochaine version.

Sont pas bêtes chez Apple.

[LSMetag]

Ou si quelqu'un réussi à prendre le contrôle à distance de sa session actuelle, il peut exécuter Sudo.

C'est pour ça que c'est majeur.

[the_babou]

martopioche:
Ce n'est pas tout à fait ça (si j'ai bien compris).
Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).
Le problème sur OSX est qu'il est possible de changer la date sans droit admin alors que selon les distributions linux, il est souvent nécessaire d'être connecté comme admin pour changer la date, le serpent qui se mord la queue !

Note: Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut. Je me demande en quoi cela peut affecter cette faille ?

[martopioche]

martopioche:
Ce n'est pas tout à fait ça (si j'ai bien compris).
Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).

À condition que l'utilisateur soit sudoer. Donc soit c'est l'utilisateur et il a le droit, soit son compte est utilisé par un tiers et déjà là j'ai un problème...

[coolspot]

martopioche:
Ce n'est pas tout à fait ça (si j'ai bien compris).
Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).
Le problème sur OSX est qu'il est possible de changer la date sans droit admin alors que selon les distributions linux, il est souvent nécessaire d'être connecté comme admin pour changer la date, le serpent qui se mord la queue !

Note: Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut. Je me demande en quoi cela peut affecter cette faille ?

C'est surtout que cette faille sur sudo date de février/mars et a été corrigé il y a quelque temps déjà sous GNU/Linux.
Reste à voir pourquoi OSX n'a pas fixé le truc alors que ca l'est depuis belle lurette sous les distribution GNU/Linux maintenu.

Pour le cas de la distribution que j'utilise (Ubuntu) : http://www.ubuntu.com/usn/USN-1754-1/


Bref encore une fois ca montre les faiblesses des système privateur absolument pas réactif face à ses concurrent libre.

Par contre cette article fait erreur en supposant que la faille est encore présente sur GNU/Linux. Elle a été corrigé déjà.

[gretro]

Bah, c'est pas vraiment révélateur comme faille. Sur n'importe quel mac, il suffit de démarrer en maintenant les touches Command + S pour devenir super-root. On peut alors faire tout ce qu'on veut sans même s'identifier et le pire est que le root ne peut rien y faire.

Bref, dès qu'on a un accès physique, c'est raté déjà. Et puis, si la personne a autorisé un accès distant, c'est qu'elle savait déjà ce qu'elle risquait et que son mot de passe a déjà été compromis. Alors ce n'est pas faille de sécurité pour laquelle je m’inquiéterai sur mon Mac...

[ALT]

dès qu'on a un accès physique, c'est raté déjà

Ah ben oui, quand on a un accès physique à une machine, il est rare qu'une protection du système fonctionne.
En revanche, je suppose qu'on peut se connecter à distance sur une machine sans connaître le moindre mot de passe. C'est d'ailleurs ce que font les pirates tous les jours, grâce, entre autres, à quelques logiciels malveillants. Même sur machine Apple.
La faille est donc, qu'en ne connaissant pas le mot de passe de l'utilisateur connecté on peut prendre le contrôle total de la machine.

the_babou[/B]]Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut.

Perdu !
Root existe mais n'a pas de mot de passe, ce qui le désactive. D'où l'échec de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo su

Maintenant, fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo passwd root

mets un mot de passe & tu verras que le compte root existe.

[kOrt3x]

La mise à jour 10.8.5 sortie hier soir comble cette faille de sécurité.

Alors, tous à vos mise à jour.