Microsoft findet macOS-Fehler, der Sicherheitsmechanismus umgeht

Apple hat kürzlich eine Sicherheitsanfälligkeit im macOS-Betriebssystem behoben, die von einem Bedrohungsakteur potenziell ausgenutzt werden könnte, um den Sicherheitsmechanismus Gatekeeper von Apple zu umgehen und Malware auf anfälligen macOS-Geräten zu installieren.

Jonathan Bar Or, Microsofts Principal Security Researcher, erläuterte Gatekeeper, die Anfälligkeit, die es umgehen kann, und die Auswirkungen des Fehlers in einem Sicherheitsblogbeitrag, der am Montag veröffentlicht wurde.

Die Forschung wurde von Microsoft geteilt, um die Bedeutung der Zusammenarbeit zwischen Forschern und der Sicherheitsgemeinschaft zu betonen, um die Verteidigung des größeren Ökosystems zu verbessern.

Die Anfälligkeit, die als CVE-2022-42821 (auch als Achilles bezeichnet) verfolgt wird, steht im Zusammenhang mit einem Szenario, in dem Angreifer die von Apples Gatekeeper-Sicherheitsprüfungen auferlegten Einschränkungen bei der Ausführung von Anwendungen umgehen können, die sicherstellen sollen, dass nur vertrauenswürdige Software auf Mac-Geräten ausgeführt wird.

Microsoft teilte die Anfälligkeit im Juli 2022 mit Apple durch Coordinated Vulnerability Disclosure (CVD) über Microsoft Security Vulnerability Research (MSVR).

Der iPhone-Hersteller behob die Achilles-Anfälligkeit, indem er am 13. Dezember 2022 ein Update für macOS 13 (Ventura), macOS 12.6.2 (Monterey) und macOS 1.7.2 (Big Sur) veröffentlichte.

„Gatekeeper-Umgehungen wie diese könnten als Vektor für den ersten Zugriff durch Malware und andere Bedrohungen genutzt werden und könnten die Erfolgsquote bösartiger Kampagnen und Angriffe auf macOS erhöhen“, schrieb Jonathan in dem Blogbeitrag.

Restriktive ACLs umgehen Gatekeeper

Gatekeeper ist eine Sicherheitsfunktion von macOS, die Code-Signierung durchsetzt und heruntergeladene Anwendungen überprüft, bevor sie ausgeführt werden, wodurch die Wahrscheinlichkeit verringert wird, versehentlich Malware auszuführen.

Beim Herunterladen von Apps über einen Browser wie Safari weist der Browser der heruntergeladenen Datei ein spezielles erweitertes Attribut mit dem Namen com.apple.quarantine zu. Dies wird später verwendet, um Richtlinien wie Gatekeeper durchzusetzen.

Das aktuelle Design von Gatekeeper diktiert das folgende Verhalten für heruntergeladene Apps:

2. Wenn die App gültig signiert und notariell beglaubigt ist, was bedeutet, dass sie von Apple genehmigt wurde, wird eine Aufforderung angezeigt, die die Zustimmung des Benutzers erfordert, bevor sie gestartet wird.

3. Andernfalls wird der Benutzer informiert, dass die App nicht ausgeführt werden kann, da sie als nicht vertrauenswürdig gilt.

„Aufgrund seiner wesentlichen Rolle bei der Bekämpfung von Malware auf macOS ist Gatekeeper eine hilfreiche und effektive Sicherheitsfunktion“, fügt Jonathan hinzu.

„Allerdings ist Gatekeeper, da es in der Vergangenheit zahlreiche Umgehungstechniken gab, die auf die Sicherheitsfunktion abzielten, nicht narrensicher. Die Fähigkeit, Gatekeeper zu umgehen, hat schwerwiegende Auswirkungen, da Malware-Autoren manchmal diese Techniken für den ersten Zugriff nutzen.“

Um die Achilles-Anfälligkeit zu demonstrieren, entwickelte Microsoft einen Proof-of-Concept (POC), der AppleDouble-Dateien untersuchte, die ACLs missbrauchten.

Für diejenigen, die es nicht wissen, ist AppleDouble ein Dateiformat, das die Metadaten in einer anderen Datei neben der Originaldatei speichert, mit einem „._“ Präfix.

Das Unternehmen entschied sich, sehr restriktive ACLs zu den heruntergeladenen Dateien hinzuzufügen, die Safari (oder einem anderen Programm) das Setzen neuer erweiterter Attribute, einschließlich des com.apple.quarantine Attributs, untersagten.

Um den POC durchzuführen, erstellte Microsoft eine gefälschte Verzeichnisstruktur mit einem beliebigen Symbol und Payload.

Der Redmonder Riese erstellte dann eine AppleDouble-Datei mit dem erweiterten Attributsschlüssel com.apple.ac.text und einem Wert, der eine restriktive ACL darstellte, indem er das Äquivalent von „ everyone deny write,writeattr,writeextattr,writesecurity,chown “ auswählte. Führen Sie das korrekte AppleDouble-Patching durch, wenn Sie ditto verwenden, um die AppleDouble-Datei zu generieren.

Schließlich wurde ein archiviertes bösartiges Payload innerhalb der bösartigen App zusammen mit ihrer AppleDouble-Datei erstellt und auf einem Webserver gehostet.

Infolgedessen wurde die bösartige App anstelle von Gatekeeper blockiert, was es Angreifern ermöglichte, Malware herunterzuladen und zu installieren.

„Apples Lockdown-Modus, der in macOS Ventura als optionale Schutzfunktion für Hochrisikonutzer eingeführt wurde, die möglicherweise persönlich von einem ausgeklügelten Cyberangriff ins Visier genommen werden, zielt darauf ab, Zero-Click-Remote-Code-Execution-Exploits zu stoppen, und schützt daher nicht vor Achilles“, sagte das Microsoft Security Threat Intelligence-Team am Montag.

„Endbenutzer sollten den Fix unabhängig von ihrem Lockdown-Modus-Status anwenden.“