Month of Apple Bugs: Lokaler Root-Exploit bereits aktiv ausgenutzt

Einen bereits aktiv ausgenutzten Zero-Day-Exploit, der lokalen Anwendern Root-Rechte beschert, stellen die MOAB-Aktivisten als Apple-Bug Nummer fünf vor. Er beruht auf einem Fehler in Apples Disk Management Framework.

In Pocket speichern vorlesen Druckansicht 734 Kommentare lesen
Lesezeit: 2 Min.

Einen bereits aktiv ausgenutzten Zero-Day-Exploit, der lokalen Anwendern Root-Rechte beschert, stellen die Aktivisten hinter dem "Month of Apple Bugs" als Apple-Bug Nummer Fünf vor. Er beruht auf einem Fehler in Apples Disk Management Framework. Über dessen Reparaturmechanismus kann man unter anderem versehentlich falsch gesetzte Dateirechte korrigieren lassen – oder sich selbst höhere verschaffen. Dazu muss ein bösartiges Programm lediglich einen passenden Bill Of Materials (BOM) erstellen und ein Repair starten. Das überschreibt dann beliebige Dateien oder setzt die gewünschten Rechte.

Voraussetzung für das Ausnutzen des Fehlers ist das Recht, BOMs in /Library/Receipts/ zu überschreiben. Das hat der bei der Installation angelegte Benutzer-Account, weil er Mitglied der Gruppe admin ist, und mit dem die Mehrzahl aller Mac-Anwender arbeiten. Einer der mitgelieferten Demo-Exploits versieht ein Root gehörendes Shell-Programm mit dem Set-UID-Flag, sodass der Anwender nach dessen Start ohne Passworteingabe direkt als Root arbeiten kann.

Die bisherigen MOAB-Lücken ermöglichten es einem Angreifer nur, Code mit den Rechten eines gewöhnlichen Anwenders auszuführen. Das ist schlimm genug, erlaubt es doch das Lesen, Löschen oder Manipulieren von Dateien, das Installieren von Hintertüren oder auch, den betroffenen Anwender auszuspionieren. Darüber hinaus wurden jedoch in der Vergangenheit auf allen Betriebssystemen auch immer wieder sogenannte "Local Privilege Escalation"-Fehler gefunden, über die sich ein Angreifer beziehungsweise ein bösartiges Programm administrative Rechte verschaffen kann, um sich beispielsweise tief im System einzunisten.

Das nun veröffentliche Leck ist ein solcher Fehler für Mac OS X (i86 und PPC), der nach Ausagen der MOAB-Aktivisten sogar bereits aktiv ausgenutzt wird. Seit wann und wie lange schon, diskutieren sie nicht; dafür analysieren sie gegen Ende der Sicherheitsnotiz das Demo-Programm, das ihnen von Dritten zugespielt wurde. Als temporären Workaround empfiehlt das MOAB-Team, zum Schutz mit dem Befehl sudo chmod -s /System/Library/PrivateFrameworks/DiskManagement.framework/Resources/DiskManagementTool das SetUID-Flag des Tools zu entfernen. Mit +s lässt es sich nach einem Patch wieder herstellen. In der MOAB-Fix-Gruppe werden unterdessen bereits andere Maßnahmen diskutiert, die die Reparaturfunktionen nicht einschränken.

Siehe dazu auch:

(ju)