Microsoft hat Details zu einer inzwischen gepatchten Sicherheitslücke in Apple macOS bekannt gegeben, die von Angreifern ausgenutzt werden kann, um Sicherheitsvorkehrungen zu umgehen, die die Ausführung bösartiger Anwendungen verhindern sollen.
Die als Achilles(CVE-2022-42821, CVSS-Score: 5.5) bezeichnete Schwachstelle wurde vom iPhone-Hersteller in macOS Ventura 13, Monterey 12.6.2 und Big Sur 11.7.2 behoben und als Logikproblem beschrieben, das von einer App ausgenutzt werden könnte, um Gatekeeper-Prüfungen zu umgehen.
„Gatekeeper-Umgehungen wie diese könnten von Malware und anderen Bedrohungen als Vektor für den Erstzugriff genutzt werden und dazu beitragen, die Erfolgsquote bösartiger Kampagnen und Angriffe auf macOS zu erhöhen“, so Jonathan Bar Or vom Microsoft 365 Defender Research Team.
Gatekeeper ist ein Sicherheitsmechanismus, der sicherstellen soll, dass nur vertrauenswürdige Apps auf dem Betriebssystem laufen. Dies wird durch ein erweitertes Attribut namens „com.apple.quarantine“ durchgesetzt, das Dateien zugewiesen wird, die aus dem Internet heruntergeladen werden. Es ist vergleichbar mit dem Mark of the Web(MotW) Flag in Windows.
Wenn also ein ahnungsloser Nutzer eine potenziell schädliche App herunterlädt, die sich als legitime Software ausgibt, verhindert die Gatekeeper-Funktion, dass die App ausgeführt wird, da sie nicht gültig signiert und von Apple beglaubigt ist.
Selbst in Fällen, in denen eine App von Apple genehmigt wurde, wird den Nutzern beim ersten Start eine Aufforderung angezeigt, ihre ausdrückliche Zustimmung einzuholen.
Angesichts der entscheidenden Rolle, die Gatekeeper in macOS spielt, ist es schwer vorstellbar, welche Folgen die Umgehung dieser Sicherheitsbarriere haben könnte, die es Bedrohungsakteuren ermöglicht, Malware auf den Rechnern zu installieren.
Die von Microsoft identifizierte Schwachstelle nutzt ein Berechtigungsmodell namens Access Control Lists(ACLs) aus, um einer heruntergeladenen Datei extrem restriktive Berechtigungen hinzuzufügen (z. B. „everyone deny write,writeattr,writeextattr,writesecurity,chown“) und damit Safari daran zu hindern, das erweiterte Quarantäneattribut zu setzen.
In einem hypothetischen Angriffsszenario könnte ein Angreifer diese Technik nutzen, um eine bösartige App zu entwickeln und sie auf einem Server zu hosten, die dann über Social Engineering, bösartige Werbung oder ein Wasserloch an ein mögliches Ziel übermittelt werden könnte.
Die Methode umgeht auch den von Apple neu eingeführten Lockdown-Modus in macOS Ventura – eine restriktive Einstellung zur Abwehr von Zero-Click-Exploits – und macht es erforderlich, dass die Nutzer/innen die neuesten Updates installieren, um die Bedrohungen zu entschärfen.
Das zeigt, dass die Umgehung des Gatekeepers für Angreifer attraktiv und sogar notwendig ist“, so Bar Or. „Gefälschte Apps sind nach wie vor einer der wichtigsten Angriffsvektoren für macOS.