Neue macOS-Sicherheitsanfälligkeit ermöglicht unbefugten Datenzugriff

Microsoft Threat Intelligence hat am Donnerstag bekannt gegeben, dass sie eine macOS-Sicherheitsanfälligkeit entdeckt haben, die es Angreifern potenziell ermöglichen könnte, die Transparenz-, Zustimmungs- und Kontrolltechnologie (TCC) des Betriebssystems zu umgehen und unbefugten Zugriff auf die sensiblen Daten eines Benutzers zu erhalten.

Diese macOS-Sicherheitsanfälligkeit wurde als CVE-2024-44133 identifiziert und als „HM Surf“ bezeichnet. Für diejenigen, die es nicht wissen: TCC ist eine Technologie, die verhindert, dass Apps auf die persönlichen Informationen des Benutzers zugreifen, einschließlich Standortdienste, Kamera, Mikrofon, Download-Verzeichnis und andere, ohne deren vorherige Zustimmung und Wissen.

Die HM Surf-Sicherheitsanfälligkeit betrifft jedoch das Entfernen des TCC-Schutzes für das Safari-Browserverzeichnis und die Modifizierung einer Konfigurationsdatei in diesem Verzeichnis.

Dies könnte es Bedrohungsakteuren ermöglichen, unbefugten Zugriff auf sensible Benutzerdaten zu erhalten, einschließlich Browserverlauf, Kamera des Geräts, Mikrofon und sogar Standortinformationen, ohne die Zustimmung des Benutzers.

Laut dem Bericht von Microsoft Threat Intelligence hängt das Umgehen von Sicherheitsmaßnahmen von sensiblen Dateien im Verzeichnis ~/Library/Safari ab.

Der Bedrohungsakteur könnte Sicherheitskontrollen umgehen, indem er die sensiblen Dateien im echten Home-Verzeichnis des Benutzers (wie /Users/$USER/Library/Safari/PerSitePreferences.db) modifiziert und die Berechtigungen und TCC von Safari ausnutzt.

„Das Lesen beliebiger Dateien aus dem Verzeichnis ermöglicht es Angreifern, äußerst nützliche Informationen (wie den Browserverlauf des Benutzers) zu sammeln“, heißt es in dem Bericht, und weiter: „Das Schreiben in das Verzeichnis ermöglicht TCC-Umgehungen, zum Beispiel durch das Überschreiben der PerSitePreferences.db.“

Der Redmonder Riese stellte außerdem fest, dass die Verhaltensüberwachungsmaßnahmen in Microsoft Defender for Endpoint verdächtige Aktivitäten im Zusammenhang mit einer bekannten macOS-Adware, Adload, einer weit verbreiteten macOS-Bedrohungsfamilie, beobachtet haben, die möglicherweise diese Sicherheitsanfälligkeit ausnutzt.

„Microsoft Defender for Endpoint erkennt und blockiert die Ausnutzung von CVE-2024-44133, einschließlich anomalem Modifizieren der Preferences-Datei durch HM Surf oder andere Methoden“, fügte der Bericht hinzu.

Microsoft teilte seine Erkenntnisse über die koordinierte Sicherheitsanfälligkeitsoffenlegung (CVD) über die Microsoft Security Vulnerability Research (MSVR) mit Apple, die von Apple im Rahmen der neuesten Sicherheitsupdates für macOS Sequoia am 16. September 2024 behoben wurde.

Derzeit nutzt nur Apples Safari-Browser die neuen durch TCC gewährten Schutzmaßnahmen. Microsoft arbeitet mit anderen großen Browseranbietern, darunter Google und Mozilla, zusammen, um die Vorteile der Härtung lokaler Konfigurationsdateien weiter zu untersuchen.

Das Unternehmen empfiehlt macOS-Benutzern dringend, die neuesten Sicherheitsupdates von Apple so schnell wie möglich anzuwenden, um sich gegen diese Sicherheitsanfälligkeit zu schützen.

„Microsoft überwacht weiterhin die Bedrohungslandschaft, um neue Sicherheitsanfälligkeiten und Angreifertechniken zu entdecken, die macOS und andere Nicht-Windows-Geräte betreffen könnten. Da plattformübergreifende Bedrohungen weiterhin zunehmen, wird eine koordinierte Reaktion auf Sicherheitsanfälligkeiten und andere Formen des Austauschs von Bedrohungsinformationen dazu beitragen, Schutztechnologien zu bereichern, die das Computing-Erlebnis der Benutzer unabhängig von der Plattform oder dem Gerät, das sie verwenden, sichern“, schloss der Bericht.