Apple flickt Zero-Day-Fehler in MacOS, der Anti-Malware-Schutzmaßnahmen umgehen kann

Cyber Security News

Eine Variante der Mac-Bedrohung Nr. 1, Shlayer, nutzt bereits seit Januar die Schwachstelle aus, die es erlaubt, Nutzdaten ungeprüft durch wichtige Sicherheitsfunktionen des Betriebssystems zu schleusen.

Apple hat eine Zero-Day-Schwachstelle in seinem MacOS gepatcht, mit der wichtige Anti-Malware-Funktionen umgangen werden können und die eine Variante der berüchtigten Mac-Bedrohung Shlayer Adware-Dropper bereits seit mehreren Monaten ausnutzt.

Der Sicherheitsforscher Cedric Owens entdeckte die Schwachstelle zuerst, die als CVE-2021-30657 geführt wird und in macOS 11.3 gepatcht wurde, einem Update, das Apple am Montag veröffentlichte. Die Schwachstelle ist besonders gefährlich für macOS-Benutzer, da sie es einem Angreifer ermöglicht, sehr einfach eine macOS-Nutzlast zu erstellen, die von den strengen Sicherheitsfunktionen, die in das Betriebssystem eingebaut wurden, um Malware fernzuhalten, nicht überprüft wird.

“Dieser Fehler umgeht auf triviale Weise viele zentrale Apple-Sicherheitsmechanismen, so dass Mac-Anwender einem großen Risiko ausgesetzt sind”, warnte Patrick Wardle, ein Apple-Sicherheitsexperte, der die Objective-See Mac-Sicherheitstool-Website betreibt, in einem Blog-Post am Montag. Owens bat Wardle, den Fehler nach seiner ersten Analyse technisch genauer zu untersuchen und darüber zu berichten.

Owens sagte, er habe seinen Exploit für den Fehler erfolgreich auf macOS Catalina 10.15 – genauer gesagt auf 10.15.7 – und auf Versionen von macOS Big Sur vor Big Sur 11.3 getestet und am 25. März einen Bericht über die Sicherheitslücke an Apple geschickt.

“Diese Nutzlast kann beim Phishing verwendet werden und alles, was das Opfer tun muss, ist ein Doppelklick, um die .dmg zu öffnen, und ein Doppelklick auf die gefälschte App innerhalb der .dmg – es werden keine Pop-ups oder Warnungen von macOS generiert”, schrieb Owens am Montag in einem Beitrag auf seinem Medium-Blog.

Schwachstelle Deep Dive

Wardles Bericht wirft einen ausführlichen technischen Blick auf den Fehler und stellt fest, dass CVE-2021-30657 drei wichtige Anti-Malware-Erkennungen in macOS umgehen kann – Datei-Quarantäne, Gatekeeper und Notarisierung, schreibt er in seinem Beitrag.

Apple hat sich schon immer als Sicherheitsfanatiker gesehen, der seine proprietären Hardware-Produkte vor Malware schützt – was die Existenz dieses speziellen Zero-Day-Bugs etwas ironisch macht. Die drei Funktionen, die der Fehler umgehen konnte, zeigen eigentlich eine stetige Weiterentwicklung der macOS-Sicherheit, wobei das Unternehmen jede Funktion verstärkt hat, um das Betriebssystem von Natur aus weniger durchdringbar zu machen, erklärte Wardle.

Die Datei-Quarantäne, die 2007 in OSX Leopard (10.5) eingeführt wurde, bietet die erste Warnung an den Benutzer, die eine explizite Bestätigung verlangt, bevor sie die Ausführung einer neu heruntergeladenen Datei erlaubt, schrieb er. Da Benutzer die Warnung jedoch immer wieder ignorierten und Malware durchließen, führte Apple Gatekeeper in OSX Lion (10.7) als eine Funktion ein, die auf File Quarantine aufbaut. Gatekeeper prüft die Code-Signatur-Informationen von heruntergeladenen Objekten und blockiert diejenigen, die sich nicht an die Systemrichtlinien halten, so Wardle.

Notarization ist die neueste der drei Sicherheitsfunktionen, die in macOS Catalina (10.15) eingeführt wurde und einmal mehr verhindern soll, dass sich Anwender selbst sabotieren. Das Feature führte Application Notarization ein, um sicherzustellen, dass Apple alle Software gescannt und genehmigt hat, bevor sie ausgeführt werden darf, so der Beitrag.

Indem der Zero-Day-Bug in der Lage ist, alle diese Funktionen zu umgehen, stellt er eine dreifache Bedrohung dar, die Malware im Grunde einen Freifahrtschein ins System gibt. Wie der Bug das macht, indem er einen Logikfehler im zugrundeliegenden Code von macOS in Gang setzt, so dass er bestimmte Anwendungsbündel falsch charakterisiert und die üblichen Sicherheitsüberprüfungen überspringt, erklärte Wardle.

Der Schlüssel zur Funktionsweise des Bugs liegt in der Art und Weise, wie macOS-Apps Dateien identifizieren, nämlich nicht als einzelne Entitäten, sondern als Bündel von verschiedenen Dateien. Diese Bündel enthalten eine Liste von Eigenschaften, die der App mitteilen, wo sich bestimmte Dateien befinden, die sie verwenden muss.

Indem sie die Eigenschaftsdatei herausnehmen und ein Bundle auf eine bestimmte Art und Weise erstellen, können Bedrohungsakteure den Fehler ausnutzen, um vom Betriebssystem falsch erkannt zu werden und so die Sicherheitsprüfungen zu passieren, so Wardle in seinem Beitrag.

“Jede skriptbasierte Anwendung, die keine Info.plist-Datei enthält, wird fälschlicherweise als ‘kein Bundle’ klassifiziert und kann daher ohne Warnungen oder Aufforderungen ausgeführt werden”, schrieb er.

Exploitation in the Wild

Nachdem er herausgefunden hatte, wie der Bug funktioniert, fragte Wardle Forscher der Mac-Sicherheitsfirma Jamf, ob jemand die Schwachstelle bereits in freier Wildbahn ausgenutzt hat. Es stellte sich heraus, dass eine Variante von Malware, die Mac-Benutzern bereits recht vertraut ist, die Schwachstelle seit mindestens dem 9. Januar ausnutzt, wie ein Beitrag am Montag im Jamf-Blog zeigt.

“Das Jamf-Protect-Erkennungsteam hat beobachtet, dass dieser Exploit von einer Variante des Adware-Droppers Shlayer in freier Wildbahn genutzt wird”, so der Beitrag von Jaron Bradley, dem Leiter der Jamf-Erkennung, der hinzufügte, dass dieser Exploit nahezu identisch mit einem Malware-Beispiel ist, das zuvor von Intego Security identifiziert wurde.

Der Hauptunterschied besteht jedoch darin, dass die Variante neu verpackt wurde, um ein Format zu verwenden, das für die Umgehung der MacOS Gatekeeper-Schwachstelle notwendig ist, erklärte er und ging ins Detail, wie der Angreifer die Schwachstelle missbrauchte.

Shlayer und das macOS haben bereits eine lange Geschichte, da die heimliche Adware als die Bedrohung Nr. 1 für Macs bekannt ist. Tatsächlich wurde Shlayer erst im August letzten Jahres entdeckt, wie er durch die Notarisierungsfunktion schlüpfte, getarnt als Adobe Flash Player-Update, was Wardle damals gemeinsam mit dem Forscher Peter Dantini entdeckte.

Verständlicherweise raten Apple und alle Sicherheitsforscher, die einen Blick auf die Zero-Day-Schwachstelle geworfen haben, dass macOS-Anwender ihre Systeme sofort aktualisieren, um zu vermeiden, dass sie Opfer eines bestehenden Exploits für diese Schwachstelle werden.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil, einem KOSTENLOSEN Webinar, das von Zoho ManageEngine gesponsert wird.

Einige Teile dieses Artikels stammen aus:
threatpost.com