2104751

Erste Angreifer nutzen 0-day Lücke in OS X

05.08.2015 | 09:44 Uhr |

Eine schwerwiegende Sicherheitslücke in OS X 10.10 lässt zu, dass Angreifer selbst ohne Passwort Kontrolle über das gesamte System erlangen.

In der aktuellen Version 10.10.4 gibt es keinerlei Schutz dagegen, erst 10.10.5 schafft Abhilfe - und OS X 10.11 El Capitan.

Malwarebytes unterrichet über neue Schadsoftware

Forscher der Firma Malwarebytes haben eine neue Schadsoftware aufgespürt . Diese installiert ohne Zutun unter anderem die berüchtigte Junkware Mackeeper ( Lesen Sie hier: Mackeeper ohne Rückstände deinstallieren ) und andere, bereits bekannte Fragmente, so auch die AdWare Genieo. Dies alles lässt eine Sicherheitslücke in OS X zu, über welche sich Angreifer Zugriff auf das gesamte System verschaffen können, ohne dafür ein Passwort eingeben zu müssen.

Apple führte mit OS X 10.10 ein neues System für das Aufzeichnen von systemrelevanten Vorkommnissen ein. Dieses verzichtet jedoch auf bestimmte, standardisierte Sicherheitsrichtlinien. Diese Schwachstelle machen sich Angreifer zu Nutzen, und greifen dadurch direkt das Dateisystem an.

Einfach ausgedrückt nehmen sich die Angreifer diese Lücke vor, und schreiben den eigenen Usernamen in die sogenannte sudoers Datei . Darin enthalten sind alle Benutzer mit privilegierten Rechten. Anschließend besitzt der Angreifer vollen Zugang zu allen systemrelevanten Ordnern, und kann sogar ohne Passworteingabe Änderungen vornehmen.

Der Schadcode, den Angreifer für eine Attacke auf OS X hernehmen, stellt Malwarebytes auf dem hauseigenen Blog vor. Diese schreibt den eigenen Nutzernamen in die sudoers Datei, und verschafft sich ohne Passwortaufforderung vollen Zugang zum Mac.
Vergrößern Der Schadcode, den Angreifer für eine Attacke auf OS X hernehmen, stellt Malwarebytes auf dem hauseigenen Blog vor. Diese schreibt den eigenen Nutzernamen in die sudoers Datei, und verschafft sich ohne Passwortaufforderung vollen Zugang zum Mac.

Wie sieht ein möglicher Schutz aus?

OS X 10.10.5 (aktuell in Beta) und OS X 10.11 El Capitan schaffen Abhilfe, dort ist der Bug bereits behoben. Für sofortigen Schutz bietet der Forscher Stefan Esser ein Tool an , welches das Problem vorläufig beheben soll. Aber auch hier ist Achtung geboten. Dieses greift tief in das System ein. Da nur sehr versierte Anwender den Programmcode lesen und verstehen können, bleibt dem Nutzer nur das Vertrauen in den Forscher.

Wie kann ich einen Angriff feststellen?

Kurz gesagt: Kaum. Wer nicht gerade sein Studium in IT Sicherheit absolviert oder zahlreiche Fachbücher gelesen hat, hat keine Möglichkeit einen Angriff zu identifizieren. Eine weitere Möglichkeit, ob der Mac angreifbar ist, bietet Esser mit folgendem Kommando :

EDITOR=/usr/bin/true DYLD_PRINT_TO_FILE=/this_system_is_vulnerable crontab -e

Dieses muss im Terminal eingegeben, und mit Enter bestätigt werden. Erscheint daraufhin eine Liste des Hauptverzeichnisses ( / ), so ist der eigene Mac anfällig. Wir raten also dringend, OS X 10.10.5 sofort zu installieren, wenn Apple das Update herausgibt.

0 Kommentare zu diesem Artikel
2104751