Wie das Öffnen einer Safari Seite bereits deinen Apple macOS gehackt haben könnte!

Früher in dieser Woche deckte das Dropbox Team Details auf über drei kritische Angriffspunkte im Apple macOS System, welches genaugenommen einem Hacker erlaubt Malware zu verbreiten, oder Mac Besitzer dazu verleitet Internetseiten zu besuchen, die Malware in den Computer einschleusen.

Die genannten Angriffspunkte waren eigentlich von Syndis entdeckt worden. Das ist eine Cybersecurity Firma, die von Dropbox angestellt wurde, um Simulationsstörungen aufzudecken und Attacken als Red Team an das IT Team abzufeuern, miteingenommen die Apple Software, die von Dropbox benutzt wird.

Die Verwundbarkeiten wurden entdeckt und gelöst von dem Apple Security Team in Februar dieses Jahrs, welches dann geflickt von Apple nur ein Monat später in der Veröffentlichung von den März Sicherheitsupdates wiedergefunden wurde. Dropbox applaudiert Apple für diese schnelle Reaktion auf das Problem.

Laut Dropbox waren alle Verwundbarkeiten, die von Syndis aufgedeckt worden waren, nicht nur ein Problem für macOS, sondern auch Safari und damit ein größeres Problem für alle Nutzer des neuesten Safari Internet Browsers.  Hier gibt es die Liste der drei gemeldeten Verwundbarkeiten:

  1. Der erste Fehler (CVE-2017-13890) siedelte sich im CoreType an, welcher ein Bauteil von macOS ist und dem Safari Internet Browser erlaubt automatisch ein Download und das mounten eines Datenträgers auf Besucher Systeme zu übertragen durch den Besuch einer Virenbelasteten Internetseite.
  2. Der zweite Fehler (CVE-2018-4176) entstand durch die Art wie Datenträger die .bundle Daten händelten, welche als Verzeichnis verpackte Anwendungen sind. Durch das Ausbeuten des Fehlers wäre es dem Hacker möglich eine Virenverseuchte Anwendung zu verbreiten mittels eines gestarteten Datenträgers, welches ein bootfähiges Programm namens Bless verwendet.
  3. Der dritte Fehler (CVE-2018-4175) umfasste eine Umgehung von der macOS Gatekeeper Anti-Malware, was einer Virenverseuchten Anwendung erlaubt die Durchsetzung der Code-Signatur zu umgehen und das Ausführen von einer modifizierten Version der Terminal App ermöglicht, welche zur Ausführung willkürlicher Befehle führt.

Wie in einem konzeptionellen Beweisvideo demonstriert wurde, war es den Forschern möglich, eine zwei Stufen Attacke abzufeuern, indem sie alle drei Fehler kontrolliert über einen Mac Computer verwendeten und das Opfer überzeugten eine Virenverseuchte Internetseite, Safari um genau zu sein, zu besuchen.

“Die erste Stufe inkludiert eine modifizierte Version der Terminal App, welche als Bearbeiter von Daten Erweiterungen (.workingpoc) registriert ist. Zusätzlich wird ein leerer Ordner namens test.bundle verwendet, welcher als Standard  eingesetzt wird, als “openfolder”, und automatisch die Applikation Terminal öffnet, welche wiederum als blog post von DropBox gekennzeichnet wird. “

“Der zweite Schritt inkludiert ein unsigniertes Shell-Skript mit der “.workingpoc” Erweiterung, welche dann in dem bereits laufendem Terminal freigeschalten wird. “

Apple veröffentlichte Sicherheits-Updates am 29 März, welche die Sicherheitserweiterungen für diese drei Fehler inkludierten. Das bedeutet, dass man darauf achten sollte immer das richtige monatliche Sicherheits-Update zu installieren, um sich vor solchen Schäden zu schützen.