Marche à suivre cheval de Troie

[PA5CAL]

Bonjour tout le monde

Comme un fil a été ouvert sur le sujet, j'en profite pour remettre le commentaire que j'ai laissé en bas de l'article.

Le problème, car c'en est un, c'est que n'importe qui peut cliquer sur un fichier exploitant la faille. Si ce n'est pas vous, ce sera peut être votre gamin qui le fera, machinalement ou poussé par la curiosité :rolleyes: .

Et la faille de sécurité (bien réelle puisque je l'ai testée positivement sur mon Mac Mini G4 sous Tiger) permet d'exécuter n'importe quoi en "root" au travers d'ARDAgent (Apple Remote Desktop Agent) même depuis une session disposant d'autorisations réduites au minimum :eek: !

Mais qui utilise réellement ARDAgent ?

Pas moi en tout cas. Et probablement pas non plus la grande majorité des utilisateurs. Cela peut éventuellement servir:
- dans les entreprises où le service informatique gère le parc à distance (ou bien où le patron espionne ses employés) ;
- pour prendre le contrôle à distance du Mac d'un parent ou d'un ami parce qu'il éprouve des difficultés à faire une opération tout seul.
En ce qui me concerne, il m'est déjà arrivé de prendre le contrôle de mon Mac à partir d'un PC distant au travers d'un VNC, mais dans ce cas n'importe quel client VNC peut remplacer ARDAgent.

Alors j'ai trouvé un moyen simple de régler le problème: j'ai supprimé (provisoirement) ARDAgent de mon Mac.

Pour pouvoir le récupérer plus tard (par exemple lors de la prochaine mise-à-jour de sécurité qui corrigera peut-être la faille) sans devoir le réinstaller, j'en ai préalablement fait une copie dans une archive. Pour ce faire, je me suis logué sous une session "root", je me suis rendu dans le dossier "/Système/Bibliothèque/CoreServices/RemoteManagement/" avec Finder, j'ai créé une archive de "ARDAgent.app", puis j'ai effacé l'application et vidé la corbeille.

Le script qui m'a servi à tester la faille est incapable de lancer ARDAgent (et pour cause, l'application n'est plus là).

Je suis dorénavant vacciné contre tous les malwares qui utilisent cette faille... sans avoir acheté d'antivirus ni de logiciel d'éradication.




Soit dit en passant, si on peut arriver à se passer des vendeurs d'antivirus sur Mac, on aura sûrement moins de chance de voir apparaître des malwares du fait de ce commerce juteux.

 

[divoli]

Je vais poser une question un peu neuneu, mais comment fait-on pour savoir si l'on a été infecté (hormis scanner avec des logiciels dédiés) ? On tape le nom des deux fichiers dans Spotlight ?

Bon ceci dit, je n'ai rien remarqué de suspect avec LS (et j'évite de télécharger et d'installer n'importe quoi).

 

[Pharmacos]

Ce n'est quand même pas une méthode accessible pour n'importe qui tu en conviendras

Sinon moi il y a très peu de risques puisque je suis seul sur ma machine donc......pas grand monde pour exécuter un script non demandé

 

[flotow]

Ce n'est quand même pas une méthode accessible pour n'importe qui tu en conviendras

Sinon moi il y a très peu de risques puisque je suis seul sur ma machine donc......pas grand monde pour exécuter un script non demandé

bah, comme ce machin recupere les caracteres frappés... il suffit qu'il choppe ton mdp, etc
sachant qu'il est root, il pourrait activer SSH... SSH+ton pass+ton IP (bah ouais, il est root)
la, c'est tout de suite moins rigolo
moi, j'ai mes ARDAgent qui sont actif... donc pas de probleme (c'est l'autre solution que de le supprimer )

 

[PA5CAL]

Je vais poser une question un peu neuneu, mais comment fait-on pour savoir si l'on a été infecté (hormis scanner avec des logiciels dédiés) ? On tape le nom des deux fichiers dans Spotlight ?

Bon ceci dit, je n'ai rien remarqué de suspect avec LS (et j'évite de télécharger et d'installer n'importe quoi).

Pour ce cheval de Troie particulier, il faut vérifier si les fichiers ne se trouvent pas dans le dossier "/Bibliothèque/Caches/". Or, Spotlignt risque de ne pas s'apercevoir de la présence des fichiers cités dans l'article, et ceux-ci peuvent même être cachés dans le Finder. On peut toutefois vérifier leur présence (ou leur absence) en ouvrant le Terminal et en tapant:

find /Library/Caches | grep ASth​

Aucun fichier portant le nom de ASthtv05 ou AStht_v06 (ou approchant) ne doit être listé.


Pour détecter d'autres chevaux de Troie potentiels, cela dépend de leur manière d'opérer un fois installés (présence du fichier exécutable, keylogger, communications avec l'extérieur, etc.).

 

[PA5CAL]

Ce n'est quand même pas une méthode accessible pour n'importe qui tu en conviendras

Effectivement, sauvegarder ARDAgent sous "root" de manière à pouvoir le récupérer rapidement et facilement est sans doute embêtant pour quelqu'un qui n'aurait pas l'habitude et/ou qui n'aurait pas l'utilisateur "root" d'activé.

Mais pour supprimer l'application, c'est beaucoup plus simple. Dans Terminal, on tape:

sudo rm -dRf /System/Library/CoreServices/RemoteManagement/ARDAgent.app/​

et on entre le mot de passe administrateur.

ATTENTION, il faut quand même vérifier deux fois la commande avant de la valider. Cela peut être dangereux si l'on se trompe !

Sinon moi il y a très peu de risques puisque je suis seul sur ma machine donc......pas grand monde pour exécuter un script non demandé

Pour ce cheval de Troie-là, c'est sans doute vrai. Mais sûrement pas pour les suivants.

Je crains qu'il soit, dans un avenir très proche (si ce n'est pas déjà fait), possible de combiner la faille de ARDAgent (qui est maintenant de notoriété publique jusqu'à dans ses détails) avec une autre faille présente dans un logiciel Internet tel qu'un navigateur, un codec ou un plugin (le plugin Flash par exemple, qui en a déjà présenté plusieurs dans le passé).

Le malware pourrait alors s'installer simplement en visualisant une page web ou une animation publicitaire infectée.

Or, de la façon dont sont gérées les pubs sur Internet, il est tout-à-fait possible de se récupérer un malware depuis des sites très sérieux (j'ai déjà été embêté par des pubs surgissantes et bloquantes sur LeMonde.fr diffusées par des arnaqueurs, par exemple).

 

[Moonwalker]

Hum...

Vous êtes bien compliqués.

Plus simple d'après la news correspondant sur MacG et les autres sites qui ont répercuté la nouvelle, il suffit d'activer ARD dans les Préférences Système>Partage. Je dis bien activer.

Ce n'est pas ARD lui-même qui est en cause mais sa gestion en local lorsqu'il est désactivé.

Il s'agit quand même d'une faille sérieuse. N'installez pas n'importe quoi. :zen:

 

[PA5CAL]

moi, j'ai mes ARDAgent qui sont actif... donc pas de probleme (c'est l'autre solution que de le supprimer )

J'ai testé l'activation de ARDAgent, et cela semble effectivement fonctionner.

J'ai tout de même quelques doutes quant à la sécurité de mon Mac lorsqu'un ARDAgent tourne en tâche de fond, surtout sur un réseau Wifi qui n'est finalement pas très difficile à hacker (j'ai testé, ça prend un peu de temps mais c'est enfantin).

Les récents déboires de SSL sur Debian nous rappellent aussi qu'on n'est jamais à l'abri d'une faille. D'ailleurs, des exploits permettant de mettre en défaut la sécurité de machines utilisant ce protocole sont disponibles sur Internet.

Donc chez moi, j'évite autant faire se peut d'avoir une backdoor (porte de derrière), même si c'est avec un bon verrou dessus. Parce que quelqu'un pourrait un jour en avoir la clé, ou passer par la chatière.

 

[Moonwalker]

J'ai testé l'activation de ARDAgent, et cela semble effectivement fonctionner.

J'ai tout de même quelques doutes quant à la sécurité de mon Mac lorsqu'un ARDAgent tourne en tâche de fond, surtout sur un réseau Wifi qui n'est finalement pas très difficile à hacker (j'ai testé, ça prend un peu de temps mais c'est enfantin).

Les récents déboires de SSL sur Debian nous rappellent aussi qu'on n'est jamais à l'abri d'une faille. D'ailleurs, des exploits permettant de mettre en défaut la sécurité de machines utilisant ce protocole sont disponibles sur Internet.

Donc chez moi, j'évite autant faire se peut d'avoir une backdoor (porte de derrière), même si c'est avec un bon verrou dessus. Parce que quelqu'un pourrait un jour en avoir la clé, ou passer par la chatière.

Je suis sur le principe en accord avec ce que tu dis, mais pour le néophyte, le plus simple est encore pour l'instant d'activer cette fonction en attendant la mise à jour de sécurité.

 

[supermoquette]

Ben d'expérience au boulot (42 mac et 4 écrans, je suis obligé de faire du ARD) l'agent plante plutôt dans le sens positif : l'admin ne peut plus contrôlé () et je dois le redémarrer

 

[macinside]

Mais qui utilise réellement ARDAgent ?

moi et c'est très pratique (maison ou boulot :zen: )

 

[Anonyme]

Si je n'utilise pas d'apple script et que j'active la gestion a distance , je suis épargné si je télécharge des zik's sur limewire ?

 

[Deleted member 18124]

J'ai activé "gestion à distance" dans Partage dans Préférences Système et je n'ai rien coché dans les propositions sur ce que peuvent faire les autres (observer, éteindre,...). C'est bon ?

 

[PA5CAL]

Citation:
Envoyé par PA5CAL

Mais qui utilise réellement ARDAgent ?

moi et c'est très pratique (maison ou boulot :zen: )

Alors, on aime vivre dangereusement ?!

Je me doute bien qu'ARD est utilisé par certaines personnes, mais franchement cela doit être loin de représenter le cas général.

 

[PA5CAL]

J'ai activé "gestion à distance" dans Partage dans Préférences Système et je n'ai rien coché dans les propositions sur ce que peuvent faire les autres (observer, éteindre,...). C'est bon ?

A priori, ça suffit pour empêcher le cheval de Troie dont on parle d'agir.

Maintenant, je ne sais pas si ça empêchera forcément un autre malware qui tenterait de désactiver ARD pour commencer...

 

[aCLR]

J'ai pas envie de faire de bêtises alors je demande.

La fenêtre de partage présente dans l'article des actualités est celle de OS X.5 ?

Je demande ça parce que je ne trouve pas gestion à distance dans ma fenêtre partage (OS X.4), je n'ai que session à distance. Je coche quand même ?

 

[PA5CAL]

Sous Tiger, "Gestion à distance" s'appelle encore "Apple Remote Desktop".

 

[Anonyme]

Salut à tous,
Je vais surement passer pour un idiot mais je voudrais comprendre certaines choses.
Pour éviter que le cheval infecte ma machine je dois active apple remote deskop. Or j'ai l'impression qu'en activant ça cela donnerait la possibilité à une autre personne de pouvoir accéder à ma machine.
Je me trompe surement mais si l'un d'entre vous voudrez bien m'expliquer la logique de la manipulation.

Merci d'avance

 

[aCLR]

Sous Tiger, "Gestion à distance" s'appelle encore "Apple Remote Desktop".

:zen: Merci, je l'active de suite




Edit : une nouvelle fenêtre s'affiche.

Dois-je tous cocher ?

 

[PA5CAL]

Salut à tous,
Je vais surement passer pour un idiot mais je voudrais comprendre certaines choses.
Pour éviter que le cheval infecte ma machine je dois active apple remote deskop. Or j'ai l'impression qu'en activant ça cela donnerait la possibilité à une autre personne de pouvoir accéder à ma machine.
Je me trompe surement mais si l'un d'entre vous voudrez bien m'expliquer la logique de la manipulation.

Merci d'avance

Le fait qu'Apple Remote Desktop (ARD) ne soit pas activé permet d'exécuter une commande avec des droits réservés à l'administrateur système (root). C'est un bug du logiciel.

En revanche, lorsque ARD est activé, ce défaut disparaît. Mais en contrepartie ARD fonctionne.

ARD permet à une personne extérieure d'accéder à la machine, sous réserve que cette personne s'identifie comme un utilisateur autorisé (login + mot de passe). Elle pourra alors faire seulement ce à quoi on l'a autorisé (fenêtre de paramétrage d'ARD dans "Préférences système">"Partage">"Services"...).

Ces limitations sont effectives tant qu'une éventuelle faille de ce système n'est pas exploitée (usurpation d'identité, vol du mot de passe, ...).

Pour ma part, je doute que ce soit sûr à 100%, mais pour l'instant c'est mieux que d'attraper le cheval de Troie dont on parle, dont l'existence est confirmé et qui est bien actuellement en circulation.