Warum Malware für Macs bald massenhaft zuschlagen wird

Hier eine Zusammenfassung, was Apple in diesem einem Update auf Mac OS X 10.6.7 alles gefixt hat. Der Text ist direkt aus Apples Security Bulletin übernommen.

• Neun verschiedene Schwachstellen (Buffer Overflows, Integer Overflows und Memory Corruption) in QuickTime, Image RAW, libTIFF und ImageIO könnten Codeausführung ermöglichen, wenn man sich ein präpariertes Bild oder Video ansieht.
• Fünf Probleme mit Buffer Overflow und Memory Corruption in Font-Komponenten könnten „Arbitrary Code Execution“ erlauben, wenn man ein Dokument herunterlädt oder öffnet, das eine präparierte eingebettete Schriftart enthält.
• Drei Probleme (Memory Corruption, doppelte Speicherfreigabe und Heap Buffer Overflow) könnte zu „Arbitrary Code Execution“ führen, wenn man eine präparierte Website besucht.
• Zwei Speicherkorruptionsprobleme in QuickLook erlauben Codeausführung, wenn man eine präparierte Excel- oder Officedatei herunterlädt (Zu beachten ist, dass die Schwachstelle in QuickLook liegt. Office muss dazu weder installiert sein, noch ist es erforderlich, sich die Datei mit QuickLook anzusehen.
• Mehrere Schwachstellen in PHP und FreeType wurden gepatcht, die schwerste davon kann zu Codeausführung durch einen Angreifer führen, wenn man Scripts ausführt oder eine Schriftart nutzt.
• Ein Fehler beim Setzen des LDT kann einem lokalen Benutzer erlauben, Code mit Superuser-Privilegien auszuführen. Die „bösen Buben“ mögen Privilege Escaltion Exploits, da sie ihren Code sogar Nicht-Admins unterjubeln können.
• Diesen hier finde ich von allen am interessantesten: „Ein URL-Verarbeitungsfehler im Install Helper kann zur Installation eines Agenten führen, der einen vom Angreifer bestimmten Server kontaktiert, wenn sich der Benutzer anmeldet. Der Dialog, der anschließend bei einem Fehler erscheint, sieht so aus, als ob Apple die Verbindung initiiert hätte“. Dieser Bug macht Social Engineering deutlich einfacher.

Man sollte dabei im Hinterkopf behalten, dass dieses gigantische Bündel an Patches nur aus einem einzigen Update stammt. Ähnlich schwerwiegende Schwachstellen sind bereits in früheren Updates von Snow Leopard gefixt worden. Das 10.6.5-Update vom November 2010 enthielt beispeilsweise mehr als 30 Patches, die mit dem Risiko von „Arbitrary Code Execution“ verbunden waren. Dabei sind die Sicherheitsupdates für Safari, QuickTime, und Drittanbietersoftware noch gar nicht eingerechnet.

Jeder einzelne Bug im April-Update existierte in OS X für mindestens 18 Monate. Jeder Eintrag in der Liste war in der Lage, bösartigen Code auf einem ungepatchten System mit wenig oder gar keiner Nutzerinteraktion auszuführen. Wenn ein Angreifer einen erfolgreichen Exploit für eine der Schwachstellen entwickelt, kann das System unbemerkt und mit fatalen Folgen übernommen werden. Dazu reicht es ein Dokument herunterzuladen, ein Bild oder ein Video anzusehen oder eine Website zu besuchen.

Wir reden hier auch nicht über theoretische Probleme. Auf dem diesjährigen Pwn2Own-Wettbewerb lief der erste erfolgreiche Angriff gegen ein MacBook mit einem auf den aktuellen Stand gepatchten Mac OS.

Ein Team von Sicherheitsforschern der französischen Penetrationstestfirma VUPEN entwicklete erfolgreich einen Zero-Day-Exploit für eine Lücke in Safari und gewann den diesjährigen Wettbewerb. Dabei schaltete das Team ASLR und DEP aus – zwei Anti-Exploit-Technologien, die in Mac OS implementiert sind. Das Opfer muss lediglich eine Webpage besuchen und ist „owned„. Mehr ist dazu nicht notwendig.

Nur wenige Tage vor dem Wettbewerb, hat Apple ein Mega-Security-Update für Safari herausgebracht, das insgesamt 62 dokumentierte Schwachstellen schließt. Die meisten davon erlaubten Codeausführung, wenn der Benutzer auf einen typischen Nepp reinfällt und eine betrügerische Website ansurft. Doch auch das hat nicht gereicht, um einen Angriff erfolgreich zu verhindern.

Dasselbe passierte in den Jahren 2009 und 2010. Charlie Miller fasste seinen Pwn2Own-Gewinn 2009 wie folgt zusammen: „Es dauerte ein paar Sekunden. Die haben auf den Link geklickt und ich habe die Kontrolle über den Computer übernommen.“

Wer denkt, dass Macs immun gegen Drive-by-Angriffe oder Social Engineering sind, sollte gemäß dem Apple-Slogan „Think Different“ umdenken. Ein Angreifer, der genug Anreize hat und eine ungepatchte Lücke kennt, kann jedes System übernehmen, auch einen Mac. Und das wirft eine noch viel interessantere Frage auf.