Zero-Day-Leck erlaubt Root-Access auf macOS

Auf Mac-Systemen wurde jetzt ein Leck entdeckt das die Ausweitung von Rechten erlaubt. Die Local Privilege Escalation (LPE) ermöglicht es, dass ein Hacker sich Root-Rechte auf dem System verschaffen kann. Entdeckt hat das Leck ein Sicherheitsforscher mit dem Alias „Siguza“.

Der hatte seine Entdeckung über Twitter verbreitet und darin auch eine detaillierte Beschreibung verlinkt.

Weil sich das Leck nur ausnutzen lässt, wenn ein Angreifer bereits auf einem System ist, wird es nicht als besonders kritisch erachtet. So muss ein Hacker zunächst über ein anderes Leck auf das System zugreifen. Was aber die aktuelle Entdeckung brisant macht, ist die Tatsache, dass das Leck seit vielen Jahren besteht und wohl auch in verschiedenen Open-Source-Komponenten anzufinden ist. Der Sicherheitsforscher geht nach eine Analyse des Sourcodes davon aus, dass dieses Leck wohl seit 2002 vorhanden ist.

Bei dem Leck handelt es sich um eine Kompromittierung der IOHIDFamily-Kernel-Treiber in macOS. Diese Treiber sind eine Kernel-Erweiterung, die vor allem genutzt wird um Schnittstellen wie Maus oder Tastatur anzuschließen und auf die die Hersteller solcher Komponenten zugreifen können.

Normalerweise kann nur ein einziger Prozess auf diese IOHIDFamiliy zugreifen und der wird in der Regel von dem Prozess WindowServer belegt. Je nachdem, über welche Systemrechte der Angreifer bereits verfügt, kann er entweder den angemeldeten Nutzer abmelden oder der Code des Angreifers muss auf ein bestimmtes Ereignis warten. Dann kann der Angreifer – stark vereinfacht gesagt – sich über diese Treiber Kernel-Rechte verschaffen. Der Fehler liegt darin, dass davon ausgegangen wurde, dass lediglich ein berechtigter Prozess auf diesen Pfad zugreifen kann.

Daher wird diese Verbindung auch nicht gesondert gesichert. Mit dem jetzt veröffentlichten Zero-Day konnte der Sicherheitsforscher nachweisen, dass man sich über einen erzwungenen Logout Zugriff auf diesen Pfad verschaffen kann. Denn so wird der Nutzer für einige Sekunden abgemeldet und ein Angreifer kann sich dann mit den Rechten des zuvor angemeldeten Nutzers anmelden. Der Prozess überprüft jedoch nicht, woher die erneute Anmeldung stammt.

Mit dem Befehl loginwindow wird der Nutzer ohne Bestätigungsfenster angemeldet. Durch die Fehlende Prüfung kann jeder Prozess, also auch der Angreifer, diesen Prozess übernehmen. Wenn der Angreifer wartet, bis der Nutzer der grafischen Oberfläche den Rechner manuell neu startet, kann sich der Hacker ebenfalls einklinken.

Siguza erklärt, er hätte das Problem an Apple gemeldet, wenn das Bug-Bounty-Programm von Apple auch Lecks in macOS umfassen würde, oder wenn der Exploit remote auszunutzen wäre. Von Apple liegt derzeit noch keine Stellungnahme dazu vor. Man kann aber davon ausgehen, dass der Hersteller das Leck im Rahmen eines der nächsten Patch-Days behebt.

Bereits Anfang Dezember hatte Apple auf macOS mit einem Root-Leck zu kämpfen. Im Dezember-Patchday hatte Apple zudem zahlreiche Sicherheitslecks geschlossen.

ANZEIGE

HPE Just Right IT – SMB Inspire – Angebote und Empfehlungen für KMUs

Unsere neue SMB Inspire Ausgabe kann Ihnen die Verteilung der Ressourcen in Ihrem Unternehmen für 2018 erleichtern. Warum? Weil wir glauben, dass Sie mit unseren Just Right IT-Produkten keine Abstriche oder Kompromisse machen müssen. Wir haben eine Reihe von leistungsstarken Lösungen zusammengestellt, mit denen Sie Ihre Umsätze steigern können, ohne Ihr Budget zu strapazieren.

Martin Schindler

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

18 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

22 Stunden ago