Ein mittlerweile behobener Fehler in dem Apple-Betriebssystem erlaubte das Ausführen von Code mit Systemprivilegien, sobald ein Speichermedium angeschlossen wurde.
Das Sicherheitsunternehmen Trend Micro hat Details zu einer Lücke in macOS veröffentlicht, über die ein Angreifer einen Apple-Rechner mit Hilfe eines manipulierten Speichermediums hätte übernehmen können. Der Fehler mit der CVE-ID 2017-13811 wurde Ende Oktober im Rahmen eines größeren Sicherheitsupdates für macOS 10.12 (Sierra) und macOS 10.11 (El Capitan) behoben, in macOS 10.13 (High Sierra) mit dessen Erscheinen bereits im September.
Ausnutzbarer Code läuft automatisch
Der Bug steckt im Systemwerkzeug "fsck_msdos", das eigentlich dazu dient, Fehler in FAT-Dateisystemen zu finden und ohne weiteres Zutun des Nutzers zu beheben. Das Tool wird automatisch gestartet, sobald ein mit FAT-formatiertes Laufwerk angeschlossen wird ? das kann ein USB-Stick, ein anderes USB-Medium wie eine SSD oder Festplatte oder eine SD-Speicherkarte (bei Macs mit entsprechender Leseeinheit wie dem alten MacBook Pro) sein. In "fsck_msdos" gab es nun wiederum eine Sicherheitslücke, die sich mit einem passend manipulierten Speichermedium ausnutzen ließ.
Darüber war es möglich, beliebigen Code auf dem Mac mit Systemprivilegien auszuführen. Ein mögliches Angriffsszenario wäre also gewesen, einen manipulierten USB-Stick in einen Mac zu schieben und dann sofort alle Rechte auf selbigem zu erhalten.
Für Android ist kein Fix geplant
"fsck_msdos" ist ein quelloffenes Werkzeug, das unter anderem Teil von Apples macOS-Open-Source-Kern Darwin ist. Es findet auch in Android sowie weiteren BSD- beziehungsweise Linux-Derivaten Verwendung. Google zufolge kann die Lücke auf seinem Handy-Betriebssystem allerdings nicht ausgenutzt werden, weil "fsck_msdos" nur unter einer "sehr restriktiven SELinux-Domäne" laufe. Entsprechend wird es für Android keinen Fix geben.
macOS zeigt bei Einlegen des manipulierten USB-Sticks diese Fehlermeldung.
Bild: Trend Micro
Trend Micro zufolge gibt es keine Hinweise darauf, dass die Angriffsform jemals in freier Wildbahn eingesetzt wurde. Dennoch sei ein schnelles Update betroffener Systeme sinnvoll. Das Sicherheitsunternehmen veröffentlichte Angaben, wo genau das Problem liegt, entsprechend dürften sich Exploits einfach erstellen lassen. Ob "fsck_msdos" auch ausgeführt wird, wenn der Mac noch gesperrt, also kein Nutzer angemeldet ist, blieb zunächst unklar ? denkbar ist dies aber.