IOHIDeous: Zero-Day-Exploit für macOS veröffentlicht
Eine seit wohl 15 Jahren bestehende Schwachstelle kann es einem Angreifer ermöglichen, die Kontrolle über den Mac zu übernehmen. Der nun veröffentlichte Kernel-Exploit funktioniert in macOS bis hin zu 10.13 High Sierra.
(Bild: Apple)
Zum Jahresanfang hat ein Sicherheitsforscher einen Zero-Day-Exploit veröffentlicht, der alle OS-X- respektive macOS-Versionen bis hin zu 10.13 High Sierra betreffen soll – und zur Übernahme des Systems eingesetzt werden kann, wenn der Nutzer entsprechend manipulierte Software ausführt. Der Exploit basiere auf einem “kleinen, hässlichen Bug” in IOHIDFamily, erklärt der Sicherheitsforscher Siguza. Er sei auf der Suche nach Schwachstellen im iOS-Kernel auf diesen macOS-spezifischen Fehler gestoßen, der einer Malware ermöglichen könne, Root-Rechte zu erlangen und damit das System zu kapern.
macOS-Schwachstelle wohl mindestens 15 Jahre alt
Der dem “IOHIDeous” genannten Exploit zugrunde liegende Fehler bestehe wohl seit dem Jahr 2002, schreibt der Sicherheitsforscher, möglicherweise stamme der Bug sogar noch aus NeXT-Zeiten – Nextstep bildete die Basis von Mac OS X. IOHIDFamily, eine Kernel-Extension zur Unterstützung von Eingabegeräten sei schon lange “berühmt-berüchtigt” für Bugs, so Siguza.
Der Exploit soll es unter anderem ermöglichen, Schutzfunktionen von macOS wie System Integrity Protection “permanent zu deaktivieren” – und eine Root-Shell zu installieren, Malware könnte sich damit dauerhaft im System des Nutzers einklinken. Der Exploit wurde auf macOS 10.12 Sierra und 10.13 High Sierra getestet, so der Sicherheitsforscher, könne aber auch in älteren Versionen des Betriebssystems funktionieren.
Mac-Malware mehrfach in legitimer Software versteckt
Ein wichtiger Teil von IOHIDeous zur Erlangung von Schreib- und Leserechte auf Kernel-Ebene funktioniere in der aktuellen High-Sierra-Version 10.13.2 nicht mehr, merkt Siguza an – die Schwachstelle sei aber noch vorhanden und der Exploit lasse sich deshalb entsprechend anpassen. Der aktuell eingeloggte Nutzer müsse zwangsabgemeldet werden, um den Exploit auszuführen – dies lasse sich aber auch unbemerkt beim Ausloggen durch den Nutzer, einem Neustart oder dem Aus- und späteren Anschalten des Macs durchführen.
Bis zu einem Patch durch Apple – der Hersteller wurde offenbar nicht vorab über den Bug informiert – bleibt Nutzern derzeit nur, neue Software nur aus vertrauenswürdigen Quellen zu beziehen. Im vergangenen Jahr versteckte sich Malware allerdings mehrfach auch in beliebten Mac-Tools wie Handbrake und Elmedia Player.
[Update 2.01.2018 14:55 Uhr] Er hätte die Schwachstelle an den Hersteller gemeldet, wenn Apples Bug-Bounty-Programm auch Bugs in macOS abdecken würde – oder die Lücke sich aus der Ferne ausnutzen ließe, schreibt Siguza auf Twitter. (lbe)
