Huit vulnérabilités dans les applications Microsoft pourraient compromettre la sécurité des utilisateurs macOS

Les services les plus importants de Microsoft sont concernés, parmi lesquels Outlook, Teams, et les applications de la suite Office.

La nouvelle provient de chez Cisco Talos et n’a apparemment pas fait ciller Microsoft. Pourtant, huit vulnérabilités sérieuses ont été mises au jour au sein de six applications (Outlook, Teams, Excel, PowerPoint, Word, OneNote) et deux autres composants relatifs à Teams. Pour la firme de Redmond, ces failles représenteraient un risque minime et ne justifient pas le déploiement de correctifs. Une décision qui contrevient à l’avis des chercheurs, selon qui ces problèmes de sécurité pourraient conduire à l’espionnage des systèmes macOS et au vol de données des utilisateurs et utilisatrices concernés.

Injections de code, vol de données et élévation de privilèges

Huit failles, huit CVE distinctes, un même risque : celui qu’un cyberattaquant puisse contourner le système d’autorisations de macOS en utilisant celui des applications mal sécurisées concernées, sans que l’utilisateur ou l’utilisatrice en soit informé.

De manière concrète, ces différentes vulnérabilités repérées dans Teams, Outlook et les outils de la suite Office (Word, Excel, PowerPoint, OneNote) sont liées à l’activation d’une fonctionnalité conçue pour outrepasser la validation des bibliothèques dans les applications. L’objectif n’est en apparence pas vain, puisqu’il doit permettre à ces mêmes applications de charger facilement des plugins tiers à partir des permissions et droits déjà accordés aux programmes au moment de leur installation.

Problème : si des attaquants parvenaient à injecter des bibliothèques malveillantes dans le processus d’exécution des applications vulnérables, alors ils bénéficieraient automatiquement des mêmes autorisations que celles octroyées initialement aux services Microsoft. Des permissions souvent très sensibles puisqu’elles ouvrent un accès à la caméra, au micro, aux répertoires et contenus stockés, ou encore à la possibilité d’effectuer des captures d’écran.

En clair, si, par le biais d’une bibliothèque vérolée, un hacker profitait automatiquement de l’ensemble des autorisations accordées à Office, Teams ou Outlook, alors il pourrait accéder à des informations sensibles concernant les utilisateurs et utilisatrices infectés, voire déclencher une élévation des privilèges en vue de prendre le contrôle du système.

Quand Microsoft met à mal le système de protection renforcé d'Apple

En théorie, les systèmes macOS sont relativement bien protégés contre ce type de menaces extérieures, et c’est partiellement ce qu’a fait valoir Microsoft pour justifier le non-déploiement de correctifs pour les six applications concernées. Une vraie fausse menace qui a toutefois poussé l’entreprise à corriger les deux composants de Teams également touchés par ces failles.

Pour rappel, Apple a mis en place un modèle de permissions solides avec son framework TCC (Transparency, Consent and Control), qui exige le consentement explicite des utilisateurs et utilisatrices chaque fois qu’une application ou un processus souhaitent accéder à des services, des composants ou des emplacements système jugés sensibles. Le framework va même un peu plus loin en intégrant des options de protection spécifiquement développées pour lutter contre les injections de code et de bibliothèque dans les processus en cours d’exécution.

Une protection renforcée que Microsoft met évidemment à mal en désactivant d’office la validation des bibliothèques, et qui ouvre nécessairement de nouvelles surfaces d’attaque à celles et ceux qui en auraient les moyens techniques et créatifs.

Source : Cisco Talos