CVE-2023-42931 Détection : Vulnérabilité critique de macOS permettant une escalade de privilèges facile et un accès root

[post-views]
avril 01, 2024 · 4 min de lecture
CVE-2023-42931 Détection : Vulnérabilité critique de macOS permettant une escalade de privilèges facile et un accès root

Les chercheurs en sécurité alertent sur une vulnérabilité critique d’élévation des privilèges dans plusieurs versions de macOS qui permet aux utilisateurs non autorisés, y compris ceux ayant des droits d’invité, d’obtenir un accès root complet à l’instance affectée.

Détecter les tentatives d’exploitation de CVE-2023-42931

Avec une augmentation exponentielle des volumes et de la sophistication des attaques, le paysage des menaces de 2024 devrait être encore plus difficile que l’année dernière. Le coût des cyberattaques sur l’économie mondiale est estimé à dépasser 10,5 trillions de dollars US d’ici la fin de 2024. En tenant compte de plus de 29 000 CVE nouvellement découverts en 2023, avec une augmentation prévue de 14,5 % pour 2024, les professionnels de la sécurité nécessitent des solutions avancées pour détecter et se défendre de manière proactive contre les menaces.

Pour aider les professionnels de la sécurité à détecter les activités malveillantes liées à l’exploitation du CVE-2023-42931, la plateforme SOC Prime pour la défense cybernétique collective propose une règle Sigma curatée basée sur la preuve de concept (PoC) d’exploitation accessible publiquement sur le web.

Tentative d’exploitation possible de CVE-2023-42931 (Élévation de privilèges MacOS) (via cmdline)

La règle ci-dessus est compatible avec 23 technologies SIEM, EDR, XDR et Data Lake et mappée au cadre MITRE ATT&CK v14.

Les cyberdéfenseurs peuvent explorer l’intégralité de la pile de détection visant à détecter les exploits de vulnérabilité pour améliorer l’efficacité du SOC et faciliter l’enquête sur les menaces. Cliquez sur le Explorer les Détections bouton ci-dessous, et explorez les vastes collections de règles Sigma enrichies de métadonnées pertinentes. Plus précisément, les règles sont accompagnées de liens CTI, de références ATT&CK, de recommandations de triage, de chronologies d’attaques et plus encore.

Explorer les Détections

Analyse de CVE-2023-42931

Selon l’ analyse détaillée par Yann Gascuel d’Alter Solutions, CVE-2023-42931 provient de l’utilitaire de ligne de commande «diskutil» acceptant des options de montage via les arguments «-mountOptions». En particulier, tout acteur menaçant local, y compris celui ayant des droits d’invité, peut monter des systèmes de fichiers avec des options spécifiques, élevant avec succès les privilèges au niveau root.

Plus précisément, les adversaires pourraient modifier un fichier appartenant au root en n’importe quel binaire arbitraire souhaité et y ajouter le bit setuid en utilisant le paramètre diskutil -mountOptions pour se retrouver avec un système de fichiers ayant un drapeau ¨noowners¨ . Par conséquent, cela entraînerait une élévation de privilèges lorsque le fichier concerné serait remonté en mode ¨owners¨.

Bien que la routine semble assez simple, le chercheur en sécurité indique que la hiérarchie moderne des disques/systèmes de fichiers de macOS et les mesures de protection du System Integrity Protection (SIP) empêchent les modifications malveillantes des fichiers système sensibles au niveau du noyau. Pourtant, Yann Gascuel a conçu un chemin d’exploitation fonctionnel pour surmonter les protections.

La vulnérabilité CVE-2023-42931 affecte macOS Monterey avant 12.7.2, macOS Ventura avant 13.6.3, et macOS Sonoma avant 14.2.Suite au signalement de la faille au fournisseur, Apple a publié un correctif dans les versions macOS Sonoma 14.2, Ventura 13.6.3, et Monterey 12.7.2

La sophistication croissante et l’augmentation exponentielle des volumes d’attaques exigent une ultra-réactivité de la part des défenseurs soutenus par des technologies innovantes et une défense cybernétique collective. Commencez avec Uncoder IO, un IDE open-source pour l’ingénierie de la détection, afin de vous aider à écrire du code de détection plus rapidement et mieux contre les menaces émergentes, rationaliser le correspondance IOC, et traduire les règles en plusieurs langages de cybersécurité à la volée. Contribuez à Uncoder sur GitHub pour nous aider à faire évoluer le projet et à encourager la collaboration à l’échelle de l’industrie.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Blog, Dernières Menaces — 7 min de lecture
Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Veronika Telychko
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Blog, Dernières Menaces — 6 min de lecture
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Veronika Telychko
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Blog, Dernières Menaces — 6 min de lecture
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Veronika Telychko