Wird aktuell angegriffen: Gefährlicher Zero-Day in macOS und iOS

Apple hat dringende Sicherheitsupdates für macOS und iOS veröffentlicht, die schnellstmöglich installiert werden sollten. Sicherheitsforscher von Google hatten zuvor eine Zero-Day-Lücke (CVE-2021-30869) im XNU-Kernel entdeckt, dem Herzstück beider Betriebssysteme. Eine bösartige App kann die Schwachstelle missbrauchen, um beliebigen Schadcode mit Kernel-Rechten auszuführen – mit anderen Worten: um das System komplett zu kompromittieren. Die Sicherheitslücke ist besonders kritisch, weil es sich um einen Zero-Day handelt. Das heißt, zu dem Zeitpunkt als die Forscher von Google sie entdeckten, wurde sie bereits für Angriffe missbraucht. Davor warnt auch Apple selbst – es gebe Berichte, die Lücke werde bereits "in the wild" ausgenutzt.

Macs mit macOS Catalina (Version 10.15) sollten ihren Anwenderinnen und Anwendern bereits das Sicherheitsupdate 2021-006 anbieten, welches die Lücke schließt. Bei iOS sind ebenfalls ältere Versionen des Betriebssystems betroffen.

Verwundbare Geräte

Folgende Geräte sind verwundbar: iPhone 5s, 6, 6 Plus sowie iPad Air, Mini 2, Mini 3 und der iPod Touch. Die Lücke wird dort mit einem Update auf iOS 12.5.5 behoben; es fixt auch einen berühmt-berüchtigten Bug, der von der Spyware Pegasus ausgenutzt wird, für ältere Geräte, ist also doppelt wichtig. Die Updates sollten so schnell wie möglich installiert werden, da offensichtlich bereits Angriffe gegen verwundbare Geräte laufen. Sicherheitsforscher vermuten, dass die Lücke für Angriffe auf die Web-Browser-Komponente WebKit missbraucht wird, die in vielen Apps und in macOS und iOS selbst zum Einsatz kommt.

Bei der Sicherheitslücke handelt es sich um ein Speicherbehandlungsproblem, bei dem wohl der Kernel nicht richtig prüft, welche Art von Daten in den Speicher geschrieben werden und Angreifer so ihren Schadcode zur Ausführung bringen. Laut Apple verbessert das Update die Zustandsprüfung in diesem Bereich und verhindert so das Ausführen von Speicherfragmenten, die nicht ausgeführt werden sollen.

Unklar bleibt, ob von dem XNU-Bug auch aktuelle macOS- und iOS-Versionen betroffen sind. Apple macht in den vorhandenen Sicherheits-Releasenotes für iOS 15 und iPadOS 15 sowie iOS 14.8 und macOS Big Sur 11.6 dazu bislang keine Angaben. Allerdings neigt der Konzern zum Verdruss vieler Sicherheitsexperten mittlerweile dazu, erst scheibchenweise mit gefixten Bugs herauszurücken. So wurden bei iOS 14.8 zusätzlich gepatchte – auch kritsche – Lücken erst eine Woche nach der Veröffentlichung ergänzt.

Lücke im Finder bleibt ungepatcht

Ganz unabhängig vom Zero-Day-Exploit im XNU-Kernel existiert momentan eine weitere Lücke im Dateimanager Finder von macOS. Bei der Finder-Lücke handelt es sich ebenfalls um eine Schwachstelle, über die Angreifer beliebigen Schadcode aus der Ferne ausführen können. Apple hatte die Lücke nach eigenen Angaben mit macOS Big Sur (Version 11.6) geschlossen, aber der Fix scheint nicht weitreichend genug gewesen zu sein, sodass Apples Desktop-Betriebssystem nach wie vor über diese Lücke angreifbar ist.

Um die Lücke zu missbrauchen, baut ein Angreifer eine Datei mit der Endung .inetloc und versieht diese mit Schadcode. Solche Dateien können zum Beispiel an E-Mails angehängt werden und werden dann unter Umständen ohne Warnung automatisch ausgeführt, wenn das Opfer sie anklickt. Beim manuellen Herunterladen und Doppelklick auf die Datei wird der Schadcode ebenfalls ausgeführt. Eigentlich sollten die macOS-Sicherheitsfunktionen Quarantine und Gatekeeper dieses Verhalten des Betriebssystems verhindern, die Schwachstelle sorgt allerdings dafür, dass der Schadcode ohne Probleme ausgeführt wird.

Apple hatte nach Angaben des Sicherheitsforschers, der die Lücke entdeckte, das Problem ab macOS Big Sur damit behoben, dass man unter bestimmten Umständen bei Dateien dieser Art die Möglichkeit, Code über eine file:// URL zu laden, unterbindet. Allerdings war man bei Apple anscheinend etwas zu gutgläubig und vergaß, andere Schreibweisen von "file" ebenfalls zu blocken. Was bedeutet, dass der Hack noch funktioniert, wenn man etwa Code oder Programme mit einer URL mit dem Prefix FiLe:// lädt. Da sich Apples Patch mit diesem einfachen Trick umgehen lässt, ist macOS nach wie vor durch Angriffe mit .inetloc-Dateien verwundbar.

(fab)