Exploit für ungepatchte Lücke in OS X 10.10 ermöglicht Root-Rechte

Eine im Juli durch den deutschen Sicherheitsforscher Stefan Esser alias @i0n1c entdeckte Sicherheitslücke, die Angreifern die lokale Ausweitung administrativer Rechte und damit den Root-Zugang zu Mac-OS-X-Systemen erlaubt, wird jetzt offenbar ausgenutzt.

Wie Malwarebytes in einem Blogbeitrag berichtet, hatte Adam Thomas, Sicherheitsspezialist bei dem Security-Anbieter, den Exploit entdeckt, als er auf eine neue Adware-Installationsdatei stieß. Nachdem der Forscher diese auf einem OS-X-System getestet hatte, bemerkte er, dass die sogenannten Sudoers-Dateien modifiziert worden waren. Bei diesen handelt es sich um versteckte Unix-Dateien, die über Root-Rechte in einer Unix-Shell entscheiden und auch darüber, wie genau sie vergeben werden. In diesem Fall räumt die Schwachstelle dem Adware-Installer Root-Rechte für die Unix-Shell ein – also ohne dafür die Passwort-Berechtigungen eines Administrators zu verlangen.

Das Exploit-Skript, das die durch die DYLD_PRINT_TO_FILE-Umgebungsvariable hervorgerufene Anfälligkeit ausnutzt, wird zunächst in eine Datei auf der Festplatte geschrieben und löscht sich nach seiner Ausführung schließlich selbständig. Das Skript ist in der Lage, die Beschaffenheit der Sudoers-Datei so zu verändern, dass Shell-Befehle mit Admin-Rechten ausgeführt werden können, um wiederum eine VSInstaller genannte Anwendung ohne vorherige Passwortabfrage zu starten. Ausgestattet mit den vollumfänglichen Root-Rechten kann die sich in einem versteckten Verzeichnis auf dem Disk-Image des Adware-Installers befindliche Anwendung dann beliebige andere Dateien herunterladen.

Dem Malware-Forscherteam zufolge ist VSInstaller beispielsweise für die Installation der Adware-Varianten VSearch und Genieo verantwortlich und spielt ebenso das potenziell unerwünschte Programm MacKeeper auf. Bislang ist noch kein offizieller Fix für die Sicherheitslücke verfügbar. Mac-Anwender können sich jedoch mit einem von Esser entwickelten Patch namens SUIDGuard schützen, den er auf GitHub bereitstellt. Dieser lässt sich aber offenbar nur von erfahreneren Nutzern einspielen.

HIGHLIGHT

OS X 10.11 El Capitan: bootfähigen USB-Stick erstellen

Gut, dass manches doch beim Alten bleibt. Mac-User, die für eine frische Installation von OS X 10.11 El Capitan einen bootfähigen USB-Stick benötigen, können ein integriertes Tool verwenden, das auch schon beim Vorgänger zum Einsatz kam.

Die Schwachstelle betrifft das aktuelle Mac-Betriebssystem OS X 10.10 Yosemite. Mit dessen Einführung hatte Apple dem dynamischen Linker dyld neue Umgebungsvariablen hinzugefügt, darunter DYLD_PRINT_TO-FILE, die das Schreiben von Fehlerprotokollen in beliebigen Dateien zulässt. Bei dieser Variable wurde allerdings versäumt, die üblichen Sicherheitsvorkehrungen zu treffen, was letztlich eine einfache lokale Rechteausweitung zuließ.

Zu dem Zeitpunkt war noch unklar, ob Apple von der Sicherheitslücke wusste, da die Anfälligkeit zwar in den ersten Betaversionen der kommenden OS-X-Version 10.11 El Capitan behoben wurde, nicht aber in der aktuellen Finalversion OS X 10.10.4 oder in der derzeitigen Vorschauversion von OS X 10.10.5. Esser hatte Apple vor der Veröffentlichung der Sicherheitslücke nicht über den Fehler informiert. Es wird daher angenommen, dass der Hersteller durch eine frühere Offenlegung eines anderen Sicherheitsspezialisten von der Schwachstelle wusste.

Der aktuelle Exploit ist jedoch nicht die einzige Sicherheitslücke, die Mac-Systeme derzeit betreffen. Die Sicherheitsforscher Trammell Hudson von Two Sigma Investments sowie Xeno Kovah von LegbaCore, haben erst kürzlich nachgewiesen, dass Rechner mit Mac OS für Angriffe auf Firmware-Ebene ebenso anfällig sind, wie Windows-PCs. Ihnen gelang es, mehrere bekannte Schwachstellen in der Firmware von PCs der wichtigsten Hersteller auch auszunutzen, um Mac-Rechner zu infizieren.

Der von den Forschern Thunderstrike 2 genannte Wurm kann sich über Netzwerkgrenzen hinweg ausbreiten, wie man das von seinen Pendants aus der Windows-Welt kennt. Thunderstrike 2 greift zum Beispiel Ethernet-Adapter und SSDs an und kann sich verbreiten, wenn diese an einen Mac angeschlossen werden. Ausgang eines Angriffs könnte etwa eine infizierte E-Mail oder Website sein.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Rainer Schneider

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago