Microsoft musste auf einen kritischen Apple-Fehler hinweisen, bevor er bemerkt wurde
Erinnern Sie sich an die Tage, als Apple sich über die Sicherheit von Microsoft lustig machte? Es scheint nun, dass sich der fruchtige Cargo-Kult auf Vole verlässt, um Schwachstellen zu finden, die seine Software-Genies nicht erkennen können.
Microsoft hat Details einer jetzt gepatchten Sicherheitslücke in Apple macOS veröffentlicht, die von einem ausgenutzt werden könnte Angreifer, um Sicherheitsvorkehrungen zu umgehen, die auferlegt wurden, um die Ausführung bösartiger Anwendungen zu verhindern.
Dubbed Achilles (CVE-2022-42821, CVSS-Punktzahl: 5,5) wurde vom iPhone-Hersteller in macOS Ventura 13, Monterey 12.6.2 und Big Sur 11.7.2 angesprochen und als ein logisches Problem beschrieben, das von einem bewaffnet werden könnte App, um Gatekeeper-Prüfungen zu umgehen.
Das Microsoft 365 Defender-Forschungsteam, Jonathan Bar Or, sagte, dass Gatekeeper-Umgehungen wie diese als Vektor für den ersten Zugriff von Malware und anderen Bedrohungen verwendet werden könnten und dazu beitragen könnten, die Erfolgsrate von zu erhöhen böswillige Kampagnen und Angriffe auf macOS.
Gatekeeper ist ein Sicherheitsmechanismus, der dafür entwickelt wurde dass nur vertrauenswürdige Apps auf dem Betriebssystem ausgeführt werden. Dies wird durch ein erweitertes Attribut namens „com.apple.quarantine“ erzwungen, das aus dem Internet heruntergeladenen Dateien zugewiesen wird. Es ist analog zum Flag Mark of the Web (MotW) in Windows.
Wenn also ein ahnungsloser Benutzer eine potenziell schädliche App herunterlädt, die sich als legitime Software ausgibt, verhindert die Gatekeeper-Funktion, dass die Apps ausgeführt werden da sie nicht gültig von Apple signiert und notariell beglaubigt ist.
Selbst in Fällen, in denen eine App von Apple genehmigt wurde, wird Benutzern beim erstmaligen Start eine Aufforderung angezeigt, um ihre ausdrückliche Zustimmung einzuholen.
Die von Microsoft identifizierte Achilles-Schwachstelle nutzt ein Berechtigungsmodell namens Access Control Lists (ACLs) aus, um einer heruntergeladenen Datei extrem restriktive Berechtigungen hinzuzufügen (d. h. „Jeder verweigert Schreiben, Schreibenattr, Schreibenextattr, Schreibsicherheit, Chown“), wodurch Safari blockiert wird vom Setzen des erweiterten Quarantäne-Attributs.
Ein Hacker könnte also im Grunde eine betrügerische App schreiben und auf einem Server hosten, die dann über Social Engineering oder böswillige Werbung an ein mögliches Ziel geliefert werden könnte.
Die Methode umgeht den viel gepriesenen Lockdown-Modus von Apple in macOS Ventura, der Zero-Click-Exploits entgegenwirken soll.
“Gefälschte Apps bleiben einer der wichtigsten Einstiegsvektoren auf macOS, was auf Gatekeeper hinweist Bypass-Techniken sind eine attraktive und sogar notwendige Fähigkeit, die Angreifer bei Angriffen nutzen können”, sagte Bar Or.
Apple sagt nichts. Es hat den Fehler in seinem neuesten Update behoben.