Microsoft entdeckt die neue Achillesferse von macOS mit der Bezeichnung CVE-2022-42821

Apple konnte kürzlich einer Kugel nach Microsoft ausweichen berichtet eine macOS-Schwachstelle, die als CVE-2022-42821 oder „Achilles“ identifiziert wurde. Diese neue Achillesferse von macOS p konzentriert sich auf Apples Gatekeeper-Sicherheitsmechanismus, der Anwendungsausführungsbeschränkungen auferlegt, um sicherzustellen, dass nur vertrauenswürdige Apps auf Mac-Geräten ausgeführt werden können. Bei Achilles erklärte Microsoft jedoch, dass der Mechanismus umgangen werden könne.

„Gatekeeper-Umgehungen wie diese könnten als Vektor für den anfänglichen Zugriff von Malware und anderen Bedrohungen genutzt werden und dazu beitragen, die Erfolgsrate von böswilligen Kampagnen und Angriffen zu erhöhen macOS“, betont Microsoft Security Threat Intelligence in einem kürzlich erschienenen Blogbeitrag. „

Microsoft drückt seine Wertschätzung für Apples Gatekeeper-Sicherheitsfunktion aus, betont jedoch, dass sie aufgrund der in der Vergangenheit entdeckten Umgehungstechniken „nicht kugelsicher“ ist. Es zählte auch einige der Gatekeeper-Bypass auf Schwachstellen in den letzten Jahren entdeckt. In dieser neuen Entdeckung sagt Microsoft, dass das Problem mit dem Herunterladen von Apps von Apples Browser wie Safari beginnt, der ein spezielles erweitertes Attribut zuweist (com.apple.quarantine) in die heruntergeladene Datei. In seinem Proof-of-Concept sagt Microsoft, dass es eine gefälschte Verzeichnisstruktur mit einem beliebigen Symbol und Payload erstellt und ACL-Berechtigungen (Access Control Lists) verwendet hat, die Apple-Programme und den Gatekeeper täuschen könnten.

„Diese ACLs verbieten Safari (oder jedem anderen Programm) das Setzen neuer erweiterter Attribute, einschließlich des com.apple.quarantine-Attributs“, erklärt Microsoft.

Ohne die von Apple festgelegten richtigen Attribute kann die schädliche App in der archivierten bösartigen Nutzlast frei auf dem System ausgeführt werden, ohne dass Gatekeeper eingreift. Danach können Angreifer Malware liefern, die den Benutzern Schaden zufügen kann.

Glücklicherweise konnte das Problem von Apple behoben werden, nachdem Microsoft mit dem Unternehmen kommuniziert hatte. Letzteres ermutigt Benutzer auch, die Lösung sofort zu erhalten, da Apples Lockdown-Modus sie nicht vor Achilles schützt.

„Fixes für die jetzt als CVE-2022-42821 identifizierte Schwachstelle wurden von Apple schnell für alle ihre Betriebssystemversionen veröffentlicht“, sagt Microsoft. „Wir stellen fest, dass der Lockdown-Modus von Apple, der in macOS Ventura als optionale Schutzfunktion für Benutzer mit hohem Risiko eingeführt wurde, die persönlich Ziel eines ausgeklügelten Cyberangriffs werden könnten, darauf abzielt, Exploits zur Ausführung von Remote-Code ohne Klick zu stoppen, und sich daher nicht dagegen wehrt Achilles. Endbenutzer sollten den Fix unabhängig von ihrem Status im Sperrmodus anwenden. Wir danken Apple für die Zusammenarbeit bei der Lösung dieses Problems.“