Entwicklungen bei Schadprogrammen: Aktuell entdeckte Schwachstellen in Apple MacOS X im Vergleich zum Vorjahr

In diesem Artikel werden die im 1. Halbjahr 2006 entdeckten Schwachstellen im Betriebssystem MacOS X beleuchtet und mit den im 1. Halbjahr 2005 gefundenen verglichen. Der Beitrag gibt einen Überblick über die Entwicklung der Bedrohungen, denen sich die zunehmend beliebtere Plattform MacOS X ausgesetzt sieht.

Einleitung

Der Apple Macintosh wird zunehmend populärer. Jüngste Berichte über die Sicherheit bei Macs haben jedoch eine lebhafte Diskussion unter Sicherheitsexperten entfacht. Denjenigen, die Besorgnis hinsichtlich der zunehmend entdeckten Schwachstellen äußerten, wurde Überreaktion vorgeworfen. Andererseits sehen sich jene, die sich diesem Standpunkt nicht anschließen, dem Vorwurf ausgesetzt, nicht genügend gesunden Menschenverstand zu besitzen. In vorliegendem Artikel werden verschiedene Aspekte der jüngsten Entwicklungen untersucht, um die aktuelle Debatte über die gegenwärtige und zukünftige Sicherheit von Macs zu beleuchten.

Mit Fug und Recht kann man sagen, dass MacOS X von Anfang an mit Augenmerk auf den Sicherheitsaspekt konzipiert wurde. Das von MacOS X eingesetzte Unix-ähnliche Sicherheitsmodell ist standardmäßig so konfiguriert, dass es das System bereits grundlegend gegen Bedrohungen schützt – bei anderen Plattformen gehört dies nicht zum Standard. Dennoch wäre es gefährlich anzunehmen, dass dadurch für Angreifer verwertbare Sicherheitsprobleme gänzlich ausgeschlossen werden könnten – obwohl diese offenbar tatsächlich sehr viel seltener auftreten. MacOS X hat Softwaremängel wie jedes andere Betriebssystem auch. Solche Mängel führen unweigerlich zum Missbrauch durch Cyberkriminelle, und zwar besonders dann, wenn die Anwender der Meinung sind, sich nicht gegen potentielle Gefahren schützen zu müssen.

Statistik

Ein interessanter Aspekt der identifizierten Schwachstellen besteht in den jeweiligen Programmkomponenten, in denen diese zu finden sind:
Die Zahl der Schwachstellen in Komponenten, die Angriffe von anderen Rechnern aus ermöglichen (Remote Attacks), ist im Vergleich zum gleichen Zeitraum des letzten Jahres gestiegen. Das beweist eindeutig, dass die potentiellen Angriffsflächen mehr und mehr ins Blickfeld rücken.

Abb. 1: Vergleich der Anzahl der Schwachstellen in
MacOS X und kompatibler Produkte im 1. Halbjahr (Januar – Mai)
2005 und 2006

So ist beispielsweise die Zahl der identifizierten Sicherheitslücken im Betriebssystem-Kernel und in den angrenzenden Programmkomponenten im Vergleich zu 2005 gesunken. Die Anzahl der Schwachstellen in Safari- beziehungsweise E-Mail-Applikationen, die benutzt werden können, um Angriffe über das Internet auszuführen, ist hingegen gestiegen. Dasselbe gilt für QuickTime – ein ergiebiges Thema für Sicherheitsexperten.

Die Grafik zeigt auch Sicherheitslecks, die in Drittprodukten gefunden wurden. Dabei handelt es sich um standardmäßig mit dem Betriebssystem installierte, jedoch nicht MacOS-X-spezifische Applikationen. Einige Schwachstellen wurden in diesem Zeitraum beispielsweise in der Java VM von Sun gefunden, wobei diese nicht nur für MacOS X relevant ist, sondern für sämtliche Betriebssysteme, die Java unterstützen.

Interessanterweise hat sich die Anzahl der Schwachstellen im MacOS X-Kernel (Mach) und angrenzenden Komponenten/Bibliotheken im Vergleich zu 2005 verringert. Einige kritische Sicherheitslücken wurden dennoch entdeckt: Die bekannteste war der am 03. Februar 2006 veröffentlichte „local ‚passwd‘ exploit“ (ein sogenannter Zero-Day-Exploit), der zum Hacken des System während des „rm-my-mac“-Wettbewerbs benutzt wurde.

Mac-Malware

Schadprogramme, die auf MacOS X abzielen, sind relativ dünn gesät.

Die Mac-Community war überrascht, als am 13. Februar 2006 der erste Wurm für MacOS X auftauchte. Er erhielt den Namen OSX/Leap.A. Leap ist ein Instant-Messaging-Wurm (IM-Wurm), der in der Lage ist, auch MacOS X-Applikationen zu infizieren. Ein Softwarefehler im Virus-Code führt jedoch dazu, dass die Programme nach der Infektion nicht mehr funktionieren.

Der Wurm wurde zuerst in den MacRumors verbreitet – und zwar am Abend des 13. Februar. Die Originalnachricht lautete „angebliche Screenshots von OS 10.5 Leopard“. Ein offensichtlicher Versuch, mittels Social Engineering-Methoden arglose Nutzer zu veranlassen, den schädlichen Code auszuführen.

Zur Verbreitung benutzt der Wurm die Apple-IM-Anwendung „iChat“. Weitere Möglichkeiten, in ein System einzudringen, sind beispielsweise der Download sowie die direkte Ausführung des Wurm-Codes durch den Nutzer oder die Anwendung einer infizierten Applikation von einem anderen Standort (Remote Location) aus. Da der Wurm nicht in der Lage ist, ein System automatisch zu infizieren, wird er auch als Trojaner bezeichnet, obwohl dies nicht ganz korrekt ist – denn im Unterschied zu Leap.A kann sich ein Trojaner nicht reproduzieren.
Der Wurm verbreitet sich als TAR.GZ-Archiv mit der Bezeichnung „latestpics.tgz“. Entpackt der Nutzer das Archiv (entweder über die Eingabe „tar“ in der Befehlszeile oder durch Doppelklick im Finder), so erhält er scheinbar eine JPEG-Datei:

Tatsächlich jedoch handelt es sich um ein PowerPC-Executable, wie der „Get Info“-Dialog zeigt:

Das „latestpics“-Executable ist eine Anwendung, die über die Befehlszeile ausgeführt wird. Dabei öffnet sie ein Terminal-Fenster.

In einigen Meldungen war die Rede davon, dass das Betriebssystem an diesem Punkt von einem gewöhnlichen Nutzer administrative Rechte verlangt. Tests bei Kaspersky Lab belegen jedoch, dass dies nicht der Fall ist – die Ausführung des Wurms verlief auch ohne administrative Rechte in derselben Weise. Er infiziert jedoch lediglich Anwendungen, für die der aktuelle User eine Schreibberechtigung hat.

Als nächstes extrahiert der Wurm aus seinem Programmcode ein InputManager-PlugIn mit dem Namen „apphook“. Ist der aktuelle Benutzer ein Administrator, so wird dieses PlugIn in den Ordner „Library/InputManagers“ kopiert. Ist er kein Administrator, kopiert der Wurm das PlugIn in den Ordner „~/Library/InputManagers“ des Benutzers. Der Unterschied besteht darin, dass die InputManager-PlugIns aus dem Root-Ordner „/Library“ in Applikationen geladen werden, die von allen Usern benutzt werden, während sie im zweiten Fall lediglich in Anwendungen des aktuellen Benutzers geladen werden.

Das PlugIn „apphook“ ist die Wurmkomponente, die für die Reproduktion via IM verantwortlich ist. Sie versucht, sich an bestimmte iChat-Funktionen anzuhängen (engl.: to hook) und versendet Kopien des Wurms an die Chat-Partner des Benutzers.

Nach der Installation von „apphook“ fährt der eigentliche Wurmcode mit der Infizierung lokaler Anwendungen fort. Dabei benutzt er „Spotlight“ für die Suche nach den am häufigsten benutzten Anwendungen und versucht, diese zu infizieren. Die Routine dafür ist sehr einfach: Leap überschreibt das entsprechende Executable mit einem eigenen Code, während die Originalanwendung in einer „MacOS Resource Fork“ gespeichert wird.
Wird nun eine infizierte Anwendung gestartet, wird auch der eigentliche Wurmcode ausgeführt und versucht, sich wie oben beschrieben fortzupflanzen. Zudem versucht Leap, die Originalanwendung zu starten, was jedoch aufgrund eines Softwarefehlers im Wurmcode nicht gelingt. Die betroffenen Applikationen funktionieren also einfach nicht mehr – ein eindeutiges Zeichen für eine Infektion.
Schließlich hatte der Wurmautor offenbar geplant, eine E-Mail-Kopierfunktion anzufügen. Bevor ihm dies jedoch abschließend gelungen war, erschien der Wurmcode bereits im MacRumors-Forum.

Außer der Tatsache, dass er durch die Infektion Anwendungen (offenbar unbeabsichtigt) unbrauchbar macht, gibt es keinerlei Anzeichen für das Vorhandensein einer weiteren zerstörerischen Payload im Wurmcode.

Am 18. Februar 2006 wurde MacOS X von einem weiteren Wurm heimgesucht: Inqtana verbreitet sich über Bluetooth und vermehrt sich durch Versenden eines Requests zum Datentransfer mit der Bezeichnung „Object Exchange (OBEX) Push“ an Geräte potentieller Opfer. Kommt der Nutzer der Aufforderung nach, so macht sich der Wurm ein Sicherheitsleck in der Bluetooth-Datei und der Object-Exchange-Directory-Traversal zunutze, um Zugang zu Bereichen außerhalb der Bluetooth-Datei und des Object-Exchange-Servicepfads zu erhalten.

Der Wurm hinterlässt zwei Dateien mit den Bezeichnungen com.openbundle.plist beziehungsweise com.pwned.plist für das LaunchAgents-Directory, um sicherzustellen, dass er automatisch startet, sobald das Opfergerät gebootet wird. Eine Datei w0rm-support.tgz mit den Wurm-Komponenten wird unter /Users/ hinterlegt.

Sobald das Betriebssystem gestartet wird, entpackt com.openbundle.plist die Wurmkomponenten, während com.pwned.plist den eigentlichen binären Code des Wurms ausführt. Danach scannt Inqtana das System nach Bluetooth-fähigen Geräten, um sich zu reproduzieren. Anschließend versendet er sich an alle aufgespürten Geräte, die Requests vom Typ Object Exchange (OBEX) Push unterstützen.

Später wurde bekannt, dass Inqtana vom Sicherheitsexperten Kevin Finisterre als Beweis für die Wirksamkeit seines Konzepts geschrieben worden war.

Am 21. Februar traten zum ersten Mal zwei gegen MacOS X gerichtete Zero-Day-Exploits auf: Exploit.OSX.Safari.a, entdeckt von Michael Lehn, und Exploit.OSX.ScriptEx.a., gefunden von oben genanntem Kevin Finisterre. Über beide Exploits wurde in IT-Medien ausführlichst berichtet.

Exploit.OSX.Safari attackiert den Apple-Webbrowser Safari. Aufgrund einer Sicherheitslücke in Safari führte der Download bestimmter ZIP-Dateien aus dem Internet zur Ausführung schädlichen Codes. Diese Schwachstelle wurde im Apple-Sicherheitsupdate 2006-001 gepatcht.

Das Exploit.OSX.ScriptEx.a ist ein Exploit einer Sicherheitslücke in der Mail-Applikation für MacOS X. Ausgelöst wird er durch das Senden eines besonders konstruierten E-Mail-Anhangs. Die Schwachstelle selbst ist ein Pufferüberlauf (Buffer Overflow), der durch das Auswerten des Ursprungsnamensbereichs (Real Name) der MIME-codierten Macintosh-Datei ausgelöst werden kann. Eine sorgfältige Auswahl von Größe und Inhalt des Ursprungsnamens kann zur Ausführung eines willkürlichen Codes und damit zur Installation eines Trojaners oder eines anderen Schadprogramms führen. Dieser Code kann zudem benutzt werden, um vollständige Kontrolle über den Opfer-Rechner zu erlangen. Dieses Problem wurde durch das Apple-Security-Update 2006-002 gelöst.

Am 19. April 2006 entdeckte der Sicherheitsexperte Tom Ferris allerdings weitere sechs Zero-Day-Sicherheitslecks, die dazu benutzt werden könnten, Opfergeräte zu zerstören oder anzuzapfen.

Fazit

Generell hat die Zahl der in Umlauf gebrachten Schadprogramme in den letzten Jahren enorm zugenommen. In der Vergangenheit waren die meisten Virenschreiber einfach nur bestrebt, in die Schlagzeilen zu gelangen. Heute hingegen sind sie darauf aus, sich zu bereichern. Da der Anteil von Apple am globalen Personal Computer-Markt eher gering ist, waren Macs bisher gegen unerwünschte Angriffe von Malware-Autoren recht gut gewappnet. Mit der steigenden Beliebtheit von Apple-Systemen wird sich dies jedoch ändern – ist die kritische Masse erst einmal erreicht, wird zweifellos mehr Malware auftauchen. Auch wenn Schadprogramme wie die IM-Würmer .OSX.Leap.a und .OSX.Inqtana.A oder Exploits wie Exploit.OSX.Safari.a oder Exploit.OSX.Script-Ex als Beweise für Konzept-Codes fungierten und offensichtlich keine schädliche Payload enthielten, zeigen diese Proof-of-Concept-Programme doch die Sicherheitslücken von MacOS X und deren Missbrauchsmöglichkeiten auf.

Ob diese Proof-of-Concept-Codes in absehbarer Zukunft zur finanziellen Bereicherung benutzt werden, bleibt abzuwarten. Die Erfahrung zeigt jedoch, dass der Identifizierung von Schwachstellen entsprechende Reaktionen der Virenschreiber auf dem Fuße folgen.

Referenzen:

  1. List of security updates for MacOS X
  2. *nix-Malware – Ergebnisse 2005 und Entwicklungstendenzen
  3. IM-Worm.OSX.Leap.a – vollständige Beschreibung in der Viren-Enzyklopädie von Kaspersky Lab
  4. Worm.OSX.Inqtana.a – vollständige Beschreibung in der Viren-Enzyklopädie von Kaspersky Lab
  5. Tom Ferris
  6. Michael Lehn
  7. Kevin Finisterre
  8. rm-my-mac competition

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.