macOS High Sierra: Apples neuer Kernel-Schutz angeblich "fehlerhaft"
Eine Schutzfunktion in macOS 10.13, die das Laden von Kernel-Extensions blockiert, lässt sich nach Angabe eines Sicherheitsforschers leicht aushebeln. Apples Umsetzung schade legitimen Entwicklern, statt die "bösen Jungs" abzuhalten.
Ein Warndialog weist auf die blockierte Kernel-Erweiterung hin.
(Bild: Screenshot: Patrick Wardle)
Apples neues Schutzsystem “Secure Kernel Extension Loading” weist in der Beta von macOS High Sierra eine Zero-Day-Lücke auf: Zwanzigminütiges “Herumstochern” habe gereicht, um auf eine Schwachstelle in der Sicherheitstechnik zu stoßen, mit der sich diese komplett umgehen lässt, beschreibt der Sicherheitsforscher Patrick Wardle. Er könne neue, nicht zugelassene Systemerweiterungen (Kernel Extension) problemlos und ohne Nutzerinteraktion einschleusen – das beweise, dass die Funktion “fehlerhaft implementiert” sei.
Technische Details wollte Wardle vorerst nicht nennen. Es ist wahrscheinlich, dass er die Schwachstelle bereits an Apple gemeldet hat. Ob diese in der Golden-Master-Version von macOS High Sierra 10.13 bereits geschlossen wurde, bleibt vorerst offen. Das Betriebssystem-Update soll am 25. September veröffentlicht werden.
Standardmäßig Blockade von Kernel-Erweiterungen in High Sierra
High Sierra blockiert das Laden neuer Systemerweiterungen von Dritt-Entwicklern grundsätzlich. Um eine Kernel Extension (Kext) dennoch zu nutzen, muss man von Hand die Systemeinstellungen für Sicherheit & Datenschutz öffnen und dort die entsprechende Erlaubnis geben. Das Prozedere ist vergleichsweise umständlich und dürfte dazu führen, dass mancher Nutzer legitime Software mit Kernel Extension nicht mehr ohne Hilfe installieren kann. Bereits in macOS Sierra (10.12) installierte Erweiterungen sind in 10.13 automatisch zugelassen.
(Bild: Apple)
Apple hat macOS in den vergangenen Jahren bereits gegen bösartige Kernel Extensions abgeschottet: Entwickler benötigen ein spezielles Zertifikat, um die Erweiterungen überhaupt anzubieten. Nicht signierte Kexts lassen sich in macOS Sierra nur noch einspielen, wenn der Nutzer Apples Systemmodifizierungsschutz System Integrity Protection (SIP) deaktiviert.
Schlecht für Nutzer und Entwickler – aber nicht für Angreifer
Das Einführung derartiger neuer Sicherheitsfunktionen verkompliziere oft das Leben von Dritt-Entwicklern und Nutzern ohne aber die “bösen Jungs” zu betreffen, die nicht nach den Regeln spielen müssen, schreibt Wardle – die Schwachstelle in High Sierra sei dafür das perfekte Beispiel. Falls Apples ultimatives Ziel nur darin liegen sollte, "dem Nutzer unter dem Deckmantel der Sicherheit die Kontrolle über das System zu nehmen", dann spiele das wohl aber auch keine Rolle mehr, schreibt der Sicherheitsforscher. (lbe)
