Apple patcht “schlimmsten macOS-Fehler der jüngeren Vergangenheit”, nachdem er in freier Wildbahn verwendet wurde

Cyber Security News

Ein neu entdeckter Fehler, der in macOS 11.3 gepatcht wurde, ermöglichte es Hackern, einen Großteil von Apples eingebauter Malware-Erkennung für aus dem Internet heruntergeladene Programme zu umgehen. Hier kündigt Apple-CEO Tim Cook den neuen Mac Pro an, während er die Keynote auf der Apple Worldwide Developer Conference (WWDC) 2019 in San Jose, Kalifornien, hält. (Foto: Justin Sullivan/Getty Images)

Apple hat gepatcht, was der bekannte Mac-Sicherheitsforscher Patrick Wardle gegenüber SC Media als “den schlimmsten macOS-Bug der letzten Zeit” bezeichnete. Eine Adware-Gruppe hatte den Fehler bereits in freier Wildbahn genutzt.

Der Fehler, der in macOS 11.3 gepatcht wurde, ermöglichte es Hackern, einen Großteil von Apples eingebauter Malware-Erkennung für Programme, die aus dem Internet heruntergeladen wurden, zu umgehen. MacOS weiß, dass Downloads einer zusätzlichen Prüfung unterzogen werden, indem das Attribut “com.apple.quarantine” aktiviert wird. Wenn alles gut geht, lösen Programme mit diesem Attribut Apples Suite von Systemwarnungen und das völlige Blockieren von verdächtigen Programmen aus – Dateiquarantäne, Gatekeeper und Notarisierung. Apple hat am Montag macOS 11.3 veröffentlicht.

Das Problem rührte daher, wie Macs Programme installieren. Macs haben die Möglichkeit, ein normales Installationspaket um ein Skript zu wickeln, anstatt ein traditionelles Programm. Wenn ein Entwickler diese Technik verwendet und wenn diesen Paketen eine Metadaten-Datei namens “Info.plist” oder eine geeignete Alternative fehlte, ignoriert macOS das com.apple.quarantine-Attribut. Kurz gesagt, ein Benutzer könnte auf ein skizzenhaftes Programm doppelklicken und es installieren, ohne dass eine der von Apple entworfenen Straßensperren im Weg steht.

Ein Vertreter von Apple bestätigte, dass der Fehler im neuesten macOS-Update gepatcht wurde, und merkte an, dass Malware, die das Quarantänesystem umgeht, immer noch mit Apples eingebauter XProtect-Malware-Erkennung zu kämpfen hat.

“Apple-Geräte sind mit mehreren Sicherheitsebenen ausgestattet, um vor einer Vielzahl von potenziellen Schwachstellen zu schützen, und wir arbeiten ständig daran, neue Schutzmaßnahmen für die Daten unserer Benutzer hinzuzufügen”, sagte der Vertreter.

Apple hat auch XProtect aktualisiert, um Malware zu blockieren, die die Technik ausnutzt.

Die Forscher, die die Schwachstelle aufgedeckt haben, sagen, dass sie in ungepatchten Systemen mit verheerender Wirkung genutzt werden könnte.

“In den letzten Jahren habe ich mich mit Red-Teaming gegen Mac-Umgebungen beschäftigt. Aus der Sicht eines Angreifers ist dies die beste Nutzlast, die ich je gesehen oder gegen Mac verwendet habe”, sagte Cedric Owens, ein Red-Teamer bei Tag, der den Fehler beim Basteln nach Feierabend entdeckt hat.

Owens sagte, dass es nur fünf Tage dauerte, bis ein Patch in einer macOS-Betaversion erschien.

“[I think] Dies ist wahrscheinlich der schlimmste oder potenziell folgenreichste Fehler für alltägliche macOS-Benutzer (die, seien wir ehrlich, nicht von Nationalstaaten mit reinen Remote-Zero-Days ins Visier genommen werden)”, sagte Wardle über einen elektronischen Chat.

“Außerdem ist er als Logik-Bug 100% zuverlässig.”

Nachdem Owens den Fehler entdeckt hatte, stellte Wardle auf seiner ObjectiveSee-Website weitere Nachforschungen über den Fehler an. Wardle kontaktierte die Software-Firma Jamf, um mit deren Mac EDR nach Nutzdaten und Anwendungen zu suchen, die der Signatur entsprachen. Jamf wiederum fand, was Wardle als “einen aggressiven Stamm von Adware, der Nutzdaten der zweiten Stufe installiert” beschreibt.

Wardle sagte, es sei nicht ungewöhnlich zu sehen, dass Mac-Zero-Days für Adware genutzt werden. Er warnte Unternehmensanwender, Macs wie Computer zu behandeln und nicht wie Geräte, die immun gegen Malware, Hackerangriffe oder andere böse Absichten sind.

“Verlassen Sie sich nicht auf den eingebauten Schutz von Apple, da sich dieser immer wieder als fehlerhaft, umgehbar oder unzureichend erweist”, sagte er. “Ein Sicherheitstool eines Drittanbieters ist wahrscheinlich sinnvoll.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com