System Integrity Protection: Apples rootfreie Zone ist gar nicht so rootfrei

Apple will mit El Capitan verhindern, dass böse Jungs mit Root-Rechten ihr System kaputt machen. Leider hat das auch als Rootless bekannte Sicherheitskonzept viele Lücken und funktioniert deswegen momentan nicht ganz.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
System Integrity Protection: Apples rootfreie Zone ist gar nicht so rootfrei

(Bild: Peter O'Connor, CC BY-SA 2.0)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Mit OS X El Capitan (10.11) hat Apple eine neue Sicherheitstechnik eingeführt, die Systeme vor Angreifern schützen soll, die sich Root-Rechte verschafft haben. Jetzt haben Sicherheitsforscher eine Handvoll Lücken in der System Integrity Protection (SIP) offengelegt, die auch in der aktuellen OS-X-Version 10.11.4 zum Teil noch ungepatcht sind.

Normalerweise hat der Root-User bei Unix-ähnlichen Systemen volle Kontrolle über das ganze System und Zugriff auf alle Dateien. Apples SIP, auch Rootless genannt, sorgt dafür, dass Ordner wie /System, /bin und /sbin nur noch für spezielle Programme zugänglich sind. Diese Programme müssen über die von Apple eingeführte System-Flag com.apple.rootless verfügen. Das soll verhindern, dass Angreifer oder schlecht programmierte Software sich Root-Rechte verschafft und mit den Systemdateien in diesen Ordnern Schindluder treibt.

In der vergangenen Woche hat ein Sicherheitsforscher der Firma SentinelOne eine Sicherheitslücke präsentiert, die sich über SIP hinwegsetzt. Auch der deutsche Sicherheitsforscher Stefan Esser hat mehrere Lücken beschrieben, die sich Schwachstellen in Apples Programmen mit Rootless-Rechten zunutze machen, um einem Angreifer Schreibrechte auf die SIP-geschützten Ordner zu geben.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wie Esser gegenüber der britischen IT-Seite The Register zu Protokoll gab, sind mehrere der von ihm entdeckten Lücken nach wie vor offen. Darunter ist ein Exploit, bei dem er Apples CoreStorage-Komponente dazu missbraucht, eine Konfigurationsdatei zu zerstören – mit dem Ergebnis, dass sein Root-Prozess danach wieder Zugriff auf alle Ordner im Dateisystem hat.

Die von den Forschern entdeckten Sicherheitslücken erfordern Root-Rechte. Hat ein Angreifer diese bereits, kann er auf einem OS-X-System ohnehin eine Menge Schaden anrichten, auch wenn er an die SIP-geschützten Ordner nicht herankommt. Die Angriffe dienen lediglich dazu, ihm in diesem Fall noch mehr Rechte zu sichern und die gleichen Möglichkeiten zu geben wie auf einem Pre-El-Capitan-System.

Der Schwachpunkt von Apples neuem Rechte-System liegt somit in den Programmen, die Apple auserkoren hat, die allmächtigen Rootless-Rechte erteilt zu bekommen. Damit SIP wirklich effektiv gegen Root-bewehrte Angreifer schützt, dürfen diese Binaries keine Sicherheitslücken aufweisen. Apple muss also all diese Programme daraufhin prüfen, ob etwaige Programmierfehler missbraucht werden können, um Rootless auszuhebeln. (fab)