Hacker nutzen 0-Day-Gatekeeper-Fehler aus, um MacOS-Computer anzugreifen

Cyber Security News

Sicherheit ist nur so stark wie das schwächste Glied. Als weiteren Beweis dafür hat Apple ein Update für macOS-Betriebssysteme veröffentlicht, um eine aktiv ausgenutzte Zero-Day-Schwachstelle zu beheben, mit der alle Sicherheitsvorkehrungen umgangen werden können, wodurch nicht zugelassene Software auf Macs ausgeführt werden kann.

Die macOS-Schwachstelle, identifiziert als CVE-2021-30657, wurde am 25. März 2021 von dem Sicherheitsingenieur Cedric Owens entdeckt und an Apple gemeldet.

“Eine unsignierte, nicht notarisierte, skriptbasierte Proof-of-Concept-Anwendung […] könnte trivial und zuverlässig alle relevanten Sicherheitsmechanismen von macOS (Datei-Quarantäne, Gatekeeper und Notarisierungsanforderungen) umgehen, selbst auf einem vollständig gepatchten M1-macOS-System”, erklärt Sicherheitsforscher Patrick Wardle in einem Bericht. “Bewaffnet mit einer solchen Fähigkeit könnten macOS-Malware-Autoren zu ihren bewährten Methoden zurückkehren (und tun dies auch), um macOS-Anwender anzugreifen und zu infizieren.”

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Apples macOS verfügt über eine Funktion namens Gatekeeper, die es nur vertrauenswürdigen Apps erlaubt, ausgeführt zu werden, indem sie sicherstellt, dass die Software vom App Store oder von einem registrierten Entwickler signiert wurde und einen automatisierten Prozess namens “App-Beglaubigung” durchlaufen hat, der die Software auf bösartige Inhalte scannt.

Aber der neue Fehler, den Owens aufgedeckt hat, könnte es einem Angreifer ermöglichen, eine Schurkenanwendung so zu gestalten, dass sie den Gatekeeper-Dienst täuscht und ausgeführt wird, ohne eine Sicherheitswarnung auszulösen. Der Trick besteht darin, ein bösartiges Shell-Skript als “doppelklickbare App” zu verpacken, damit die Malware per Doppelklick wie eine App ausgeführt werden kann.

“Es ist eine App in dem Sinne, dass Sie es doppelt anklicken können und macOS es als App ansieht, wenn Sie mit der rechten Maustaste auf -> Get Info auf die Nutzlast klicken”, sagte Owens. “Aber es ist auch ein Shell-Skript, da Shell-Skripte nicht von Gatekeeper überprüft werden, selbst wenn das Quarantäne-Attribut vorhanden ist.”

[Blocked Image: https://thehackernews.com/images/-VJcAfeigXAU/YIflxqbcR8I/AAAAAAAACYQ/2BXHadqOI30gqgbTdpezN6aBLvMI51aJgCLcBGAsYHQ/s0/malware.jpg][Blocked Image: https://thehackernews.com/images/-5-2DSx3g1lM/YIflwyqs9yI/AAAAAAAACYM/2zPv2m4h6H0XzaEyV_bxo63N0O1goK4BACLcBGAsYHQ/s0/macos-malware.jpg]

Laut der macOS-Sicherheitsfirma Jamf hat der Bedrohungsakteur hinter der Shlayer-Malware diese Gatekeeper-Bypass-Schwachstelle bereits am 9. Januar 2021 ausgenutzt. Shlayer wird über eine Technik namens “Search Engine Poisoning” oder “Spamdexing” verbreitet und ist für fast 30 % aller Erkennungen auf der macOS-Plattform verantwortlich, wobei laut Kaspersky-Statistiken für 2019 jedes zehnte System mindestens einmal auf die Adware gestoßen ist.

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Der Angriff funktioniert durch die Manipulation von Suchmaschinenergebnissen, um bösartige Links anzuzeigen, die, wenn sie angeklickt werden, Benutzer auf eine Webseite umleiten, die Benutzer auffordert, ein scheinbar harmloses App-Update für veraltete Software herunterzuladen, bei dem es sich in dieser Kampagne um ein Bash-Skript handelt, das entwickelt wurde, um Payloads der nächsten Stufe, einschließlich Adware von Bundlore, heimlich abzurufen. Beunruhigend ist, dass dieses Infektionsschema genutzt werden könnte, um fortgeschrittenere Bedrohungen wie Surveillanceware und Ransomware zu übertragen.

Zusätzlich zu der oben genannten Schwachstelle adressieren die Updates vom Montag auch eine kritische Schwachstelle in WebKit Storage (verfolgt als CVE-2021-30661), die einen Fehler bei der Ausführung von beliebigem Code in iOS, macOS, tvOS und watchOS bei der Verarbeitung von bösartig gestalteten Webinhalten betrifft.

“Apple ist sich eines Berichts bewusst, dass dieses Problem aktiv ausgenutzt worden sein könnte”, sagte das Unternehmen in einem Sicherheitsdokument und fügte hinzu, dass es die Use-after-free-Schwachstelle mit einer verbesserten Speicherverwaltung behoben hat.

Neben diesen Updates hat Apple auch iCloud für Windows 12.3 mit Patches für vier Sicherheitslücken unter anderem in WebKit und WebRTC veröffentlicht, die einem Angreifer Cross-Site-Scripting (XSS)-Angriffe (CVE-2021-1825) und die Beschädigung von Kernel-Speicher (CVE-2020-7463) ermöglichen könnten.

Benutzern von Apple-Geräten wird empfohlen, auf die neuesten Versionen zu aktualisieren, um das mit den Schwachstellen verbundene Risiko zu verringern.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com