Ein Sicherheitsforscher hat eine neue Angriffsmöglichkeit in macOS entdeckt, die Datenschädlinge ausnutzen könnten, um sich heimlich zu starten. Filippo Cavallarin vom italienischen Sicherheitsunternehmen Segment beschreibt in seinem Blog einen Gatekeeper-Bypass, der bis in die jüngste Mojave-Version 10.14.5 ausnutzbar sein soll. Der seit macOS 10.5 verfügbare Malware-Schutz soll eigentlich dafür sorgen, dass Apps, die über kein Zertifikat von Apple verfügen, nicht gestartet werden können.
Die Schutzfunktion samt Zertifikate-Überprüfung könne aber "einfach" umgangen werden, so Cavallarin. Er habe das Problem bereits vor drei Monaten an Apple gemeldet, seit Mitte Mai aber nichts mehr von dem Unternehmen gehört: "Apple started dropping my emails." Da er selbst eine 90-Tage-Disclosure-Politik habe, die Apple bekannt sei, veröffentliche er den Bug nun.
Netzwerk-Laufwerk einfach vertraut
Gatekeeper überprüft Programme, die aus dem Netz heruntergeladen wurden, automatisch und lässt einen Start nur zu, wenn diese ein bestimmtes Code-Signing aufweisen. Cavallarins Trick nutzt nun die Tatsache aus, dass Gatekeeper sowohl extern gemountete Medien als auch Netzwerk-Laufwerke für sicher hält und Apps auf diesen daher die Ausführung erlaubt.
Eine erfolgreiche Attacke ist aber nicht ohne Weiteres möglich: Bei dem Angriff muss ein Opfer dazu gebracht werden, eine ZIP-Datei herunterzuladen und zu öffnen. Diese enthält wiederum einen symbolischen Link (Symlink) auf ein externes NFS-Verzeichnis, das der Angreifer kontrolliert. Wird dieses im Finder ausgewählt, erscheint die eigentliche Malware-App, die Cavallarin mit passendem Icon als PDF-Verzeichnis tarnt – es reicht, dieses einfach anzuklicken, um eine externe Shell zu öffnen.
Nicht das erste Gatekeeper-Problem
Cavallarin kritisiert, dass der in macOS enthaltene ZIP-Entpacker keinerlei Überprüfung auf eventuell vorhandene Symlinks vornimmt – diese würden einfach angelegt. Erkennbar sind diese am kleinen Pfeil – Nutzer sollten sie also keinesfalls anklicken. "Das Opfer ist [sonst] in einem Bereich, der vom Angreifer kontrolliert, aber von Gatekeeper vertraut wird." Entsprechend könnten ausführbare Dateien beliebig ohne Warnung laufen. "Die Art, wie der [macOS-Dateimanager] Finder gestaltet ist" mache die Technik sehr effektiv und schwer zu erkennen.
Apple plant, Gatekeeper künftig auszubauen – so wird eine Sicherheitsüberprüfung durch Apple zur Pflicht, bevor signiert wird.
Cavallarins Bug ist nicht das erste Problem, das in Gatekeeper gefunden wurde.
Quelle: macOS: Sicherheitsmechanismus Gatekeeper soll umgehbar sein | heise online