Outlook, Teams, PowerPoint, OneNote, Excel ou encore Word : un utilisateur Mac a toutes les chances d’utiliser un ou plusieurs de ces logiciels de Microsoft tous les jours. Ils ne sont malheureusement pas dénués de vulnérabilité, comme l’a découvert Cisco Talos.
Microsoft corrige des failles, mais pas toutes
D’après ces chercheurs en sécurité, un pirate pourrait accéder à des ressources particulièrement sensibles du Mac comme le micro, la caméra, les dossiers, ils auraient aussi la possibilité d’enregistrer l’écran, sans évidemment que l’utilisateur soit informé. Toutes les apps sont en mesure d’enregistrer de l’audio, à l’exception d’Excel.
L’attaque est basée sur l’injection de bibliothèques malveillantes dans les applications, afin de récupérer et d’exploiter les permissions accordées aux logiciels. « Nous avons identifié huit vulnérabilités dans plusieurs applications Microsoft pour macOS, qui permettent à un attaquant de contourner le modèle d’autorisation du système d’exploitation en utilisant les autorisations existantes des applications sans demander de vérification supplémentaire à l’utilisateur », expliquent les chercheurs.
macOS repose sur le framework TCC (Transparence, Consentement et Contrôle) qui nécessite l’autorisation explicite de l’utilisateur pour accéder aux données sensibles. Un modèle efficace, mais pas infaillible : si un logiciel ayant des permissions élevées est compromis, il peut être exploité pour accéder à ces permissions sans interaction de l’utilisateur.
Mis au courant par Cisco Talos, Microsoft n’est évidemment pas resté les bras ballants et a mis à jour OneNote et Teams pour boucher la vulnérabilité. En revanche, Excel, PowerPoint, Word et Outlook sont toujours vulnérables. L’éditeur estime que ces failles sont de risque faible, car il faut injecter des bibliothèques non signées pour le support des plugins.
Entre autres recommandations, les chercheurs suggèrent à Apple de notarier les plugins tiers après vérification de leur sécurité, afin de garantir qu’ils ne contiennent pas de composants dangereux.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cisco Talos