Microsoft half Apple, macOS’ Gatekeeper zu verbessern
[ad_1]
Infektionen von macOS kommen oftmals in Folge dessen zustande, dass Benutzer Schadsoftware vornehmen, natürlich in dieser Aussicht, weitgehend gutartige Software zu nutzen. Gegen diesen Fehler soll seit dieser Zeit zehn Jahren unter anderem dieser Gatekeeper schützen. Lädt ein Nutzer eine File herunter, fügt macOS ihr dies Charakteristikum com.apple.quarantine
hinzu. Vor dem Öffnen einer damit markierten File überprüft dieser Gatekeeper, ob dieser Kennung valide signiert und bestätigt ist. Wenn ja, muss dieser Benutzer noch die Erläuterung erlauben; wenn nein, weigert sich macOS, die File weiterzuverarbeiten. So simpel dies klingt, so schwierig ist dies in dieser Realität.
Sicherheitsforscher und Angreifer finden immer wieder Methoden, diesen Schutzmechanismus zu umgehen. Entweder finden sie zusammensetzen Weg, zu verhindern, dass dies Quarantäne-Charakteristikum gesetzt wird. Mal wurden fratzenhaft heftige Menstruationsblutung Pfadnamen gesetzt, um dies Charakteristikum zu verdrängen (CVE-2021-1810), mal Komprimierungsarchive (CVE-2022-22616) oder externe Speichermedium mit bestimmten Dateisystemformaten genutzt (CVE-2019-8656), um Attribute verschwinden zu lassen. Andere Methoden lassen die Attribute unberührt und setzen c/o jenen Funktionen an, die die Sicherheitsvorschriften umtopfen sollen (zum Denkmuster CVE-2014-8826, CVE-2021-30657, CVE-2021-30853).
Wo ein Wille, da eine Hacke
Microsofts Sicherheitsforschung (“Security Threat Intelligence”) hat sich von dem Trick mit den fratzenhaft langen Pfadnamen inspirieren lassen und tatsächlich zusammensetzen weiteren Weg gefunden, den macOS-Gatekeeper zu umgehen. Seine Methode hat Microsoft Achilles getauft. Anstatt dagegen dies Charakteristikum verschwinden zu lassen, setzten die Microsoft-Forscher ein anderes, erweitertes Charakteristikum: Neben den grundlegenden Dateimodi, die festlegen, wer eine File Vorlesung halten, verändern oder gar vornehmen darf, kennt macOS Attribute, die weitere Rechte in die Pflicht nehmen können – bspw., wer Attribute ändern kann, wer die Eigentümerschaft einer File verändern oder jene gar löschen darf.
Dasjenige erfolgt jenseits dies Charakteristikum com.apple.acl.text
. Es kann stracks an dieser File hängen (AppleSingle) oder in einer separaten File (AppleDouble, Dateiname einsetzend mit “._"
) enthalten sein, die die Hauptdatei begleitet. Im Juli hat Microsoft festgestellt, dass macOS beim Entpacken von Archiven stets die AppleDouble-Dateien auswertete (vorausgesetzt sie nicht extrem weithin sind) und die darin enthaltenen Attribute an die Hauptdatei anfügte.
Update schon ausgerollt
Dasjenige verhinderte, dass macOS dies förmlich vorgesehene Charakteristikum com.apple.quarantine
eintrug. Und ohne com.apple.quarantine springt dieser Gatekeeper nicht an. Achilles war geboren. Folglich hätte ein Angreifer Schadsoftware samt AppleDouble-File in ein Zip-Dokumentensammlung stecken können. Hätte ein User dieses heruntergeladen und entpackt, hätte dieser Gatekeeper die Erläuterung dieser Schadsoftware nicht verhindert. Nachdem Microsoft Apple gewarnt hat (CVE-2022-42821), wurde flugs ein Sicherheitspatch gegen Achilles in Umwälzung gebracht.
Ohne Update gibt es doch keinen Schutzmechanismus. Nicht gegen Achilles schützt übrigens Apples “Lockdown Mode”, wie Microsoft eindringlich warnt. Dieser optionale Schutzmechanismus ist zu Gunsten von im besonderen Angriffen ausgesetzte Benutzer konzipiert. Lockdown Mode soll verhindern, dass Schadcode aus dieser Ferne ohne Zutun des Nutzers umgesetzt wird. Achilles setzt doch darauf, dass die Person vor dem Gerät die File zu Gunsten von gutartig hält und draufklickt.
(ds)