Experte beschreibt macOS-Fehler, mit dem Malware die Gatekeeper-Sicherheit umgehen kann

  • Apple hat kürzlich eine Sicherheitslücke im macOS-Betriebssystem behoben, die möglicherweise von einem Bedrohungsakteur ausgenutzt werden könnte, um “trivial und zuverlässig” eine “Vielzahl grundlegender macOS-Sicherheitsmechanismen” zu umgehen und beliebigen Code auszuführen.

    Der Sicherheitsforscher Patrick Wardle beschrieb die Entdeckung am Donnerstag in einer Reihe von Tweets. Das als CVE-2021-30853 (CVSS-Score: 5.5) bezeichnete Problem bezieht sich auf ein Szenario, in dem eine bösartige macOS-App die Gatekeeper-Prüfungen umgehen kann, die sicherstellen, dass nur vertrauenswürdige Apps ausgeführt werden können und dass sie einen automatisierten Prozess namens “App-Notarisierung” durchlaufen haben.

    Der iPhone-Hersteller, der Gordon Long von Box für die Meldung des Fehlers verantwortlich macht, sagte, dass er die Schwachstelle mit verbesserten Prüfungen als Teil der macOS 11.6-Updates behoben hat, die offiziell am 20. September 2021 veröffentlicht wurden.

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    “Solche Fehler sind für normale macOS-Benutzer oft besonders schwerwiegend, da sie Adware- und Malware-Autoren die Möglichkeit bieten, die macOS-Sicherheitsmechanismen zu umgehen, die sonst Infektionsversuche vereiteln würden”, so Wardle in einem technischen Bericht über den Fehler.

    Konkret umgeht der Fehler nicht nur Gatekeeper, sondern auch die Datei-Quarantäne und die Notarisierungsanforderungen von macOS, so dass eine scheinbar harmlose PDF-Datei das gesamte System kompromittieren kann, indem sie einfach geöffnet wird. Laut Wardle liegt das Problem in der Tatsache begründet, dass eine unsignierte, nicht notariell beglaubigte skriptbasierte Anwendung nicht explizit einen Interpreter angeben kann, was zu einer vollständigen Umgehung führt.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhaS7jTP3LdoYlOs3uvjlTWwVIyRTBuBZvrgH5h0BvDwkDordpF-jyEtBSuXIfZS1CLx3eNhW8bojx3D3cTVgeSQpeH4ud7VeFYHauWeKNZOCoFJu2t8lEL9z8-Q1HgxlAIMqdqqQLPuNDD_tHhwBrH19TZoN-uGIrYL81citlvxdHm_rA4EpIzUhLg]

    Es ist erwähnenswert, dass eine Shebang-Interpreter-Direktive – z. B. #!/bin/sh oder #!/bin/bash – typischerweise verwendet wird, um ein Shell-Programm zu analysieren und zu interpretieren. Bei diesem Angriff kann ein Angreifer jedoch eine Anwendung so gestalten, dass die shebang-Zeile ohne einen Interpreter (d. h. #!) eingebunden wird, und das zugrunde liegende Betriebssystem dazu bringen, das Skript zu starten, ohne einen Alarm auszulösen.

    Das ist so, weil “macOS (erneut) versuchen wird, das fehlgeschlagene Skript auszuführen [‘interpreter-less’ script-based app] über die Shell (‘/bin/sh’) auszuführen”, erklärte Wardle nach dem anfänglichen Ausbleiben des Erfolgs.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    Mit anderen Worten: Bedrohungsakteure können diese Schwachstelle ausnutzen, indem sie ihre Ziele dazu verleiten, eine bösartige Anwendung zu öffnen, die als Adobe Flash Player-Update oder als trojanisierte Version legitimer Anwendungen wie Microsoft Office getarnt sein kann, die wiederum über eine Methode namens “Search Poisoning” verbreitet werden kann, bei der Angreifer das Suchmaschinen-Ranking von Websites, auf denen sich ihre Malware befindet, künstlich erhöhen, um potenzielle Opfer anzulocken.

    Dies ist nicht das erste Mal, dass Schwachstellen im Gatekeeper-Prozess entdeckt werden. Anfang April dieses Jahres hat Apple eine damals aktiv ausgenutzte Zero-Day-Schwachstelle (CVE-2021-30657) schnell gepatcht, durch die alle Sicherheitsvorkehrungen umgangen werden konnten, so dass nicht zugelassene Software auf Macs ausgeführt werden konnte.

    Im Oktober veröffentlichte Microsoft eine Sicherheitslücke mit der Bezeichnung “Shrootless” (CVE-2021-30892), die dazu genutzt werden konnte, beliebige Operationen auszuführen, die Rechte auf Root zu erhöhen und Rootkits auf kompromittierten Geräten zu installieren. Apple gab an, das Problem mit zusätzlichen Einschränkungen im Rahmen von Sicherheitsupdates zu beheben, die am 26. Oktober 2021 veröffentlicht wurden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com