Umgehung des Apple Gatekeepers öffnet Schädlingen Tür und Tor

Gatekeeper soll Mac OS X davor schützen, dass zweifelhafte Programme und Schädlinge in das geschlossene Ökosystem von Apple eindringen. Dieser Schutzmechanismus hat sich aber auch zu einem beliebten Ziel von Forschern und erfahrenen Hackern entwickelt, die versuchen, die Kontrolle über Apple-Geräte zu erlangen.

Auf der Virus Bulletin Konferenz, die letzte Woche in Prag stattfand, hat der Forscher Patrick Wardle von Synack eine Methode zur Umgehung von Gatekeeper vorgestellt, über die er einige Zeit gebrütet hat. Gegenüber Threatpost erklärte der Forscher, dass er seine Erkenntnisse bereits Apple mitgeteilt habe und das Unternehmen ein Übergang-Fix entwickle, das die Nutzer bis zum Erscheinen des nächsten Patches schützen soll. Das Problem ist, dass die von Wardle vorgestellte Umgehungsmethode einen Fehler im Design ausnutzt, für dessen Behebung Veränderungen in der Architektur des Betriebssystems vorgenommen werden müssen.

Bevor die Ausführung einer App auf einem Apple-Gerät erlaubt wird, führt Gatekeeper eine Reihe von Überprüfungen durch. Beispielsweise blockiert er Code, der nicht mit einem Zertifikat eines Apple-Entwicklers signiert ist, sowie Code, der aus Stores von Drittanbietern geladen wurde. Allerdings überprüft dieser Wächter laut Wardle nicht, ob eine App andere Programme oder dynamische Bibliotheken aus demselben oder einem relativen Ordner starten oder laden kann.

Eine Anwendung, die die erste statische Überprüfung von Gatekeeper durchlaufen hat, wird nicht weiter von dem Wächter verarbeitet und als vertrauenswürdig angesehen. Wardle erklärte, dass ein Angreifer den Nutzer dazu bringen könnte, ein signiertes und infiziertes Programm aus einer Drittquelle zu laden. Überdies kann eine MitM-Attacke durchgeführt werden, wodurch ein Angreifer in die Lage versetzt wird, über einen http-Kanal eine schädliche Bibliothek in das Verzeichnis zu laden und auf dem angegriffenen Rechner Fuß zu fassen.

Bei der Vorbereitung seiner PoC-Attacke stieß Wardle auf Binärcode, der mit einem Zertifikat von Apple signiert war, und stellte ihn als dmg-Datei dar (Speicherabbild in Mac OS X), die man dem Nutzer zum Download anbieten kann, nachdem sie mit einem traditionellen App-Icon ausgestattet wurde. Bei Aktivierung sucht dieser Code in derselben .dmg nach der schädlichen ausführbaren Datei und startet sie dann.

Umgehung des Apple Gatekeepers öffnet Schädlingen Tür und Tor

„Das ist keine hochkomplizierte Angelegenheit, aber es ist eine effektive und vollständige Umgehung von Gatekeeper“, erklärte der Forscher. „Das bietet Hackern die Möglichkeit, auf alt bewährte Tricks zurückzugreifen und Trojaner und gefälschte AV-Programme zu laden oder infizierte Apps auf Pirate Bay zu veröffentlichen. Am meisten beunruhigt mich dabei, dass Zugriff auf das Netz eröffnet wird, wenn der Angreifer über die entsprechende Erfahrung verfügt. Ein erfahrener Hacker kann den unsicheren Download gegen nationalstaatliche Strukturen mit Zugriff auf hohe Ebenen einsetzen, es wird ihm keine Schwierigkeiten bereiten, eine legitime Apple-Binärdatei zusammen mit einem Schädling zu präsentieren oder eine ‚Man-in-the-Middle‘-Attacke durchzuführen; und Gatekeeper wird nichts dagegen unternehmen.“

Wardle, der früher im Jahr eine Möglichkeit zum Abfangen von Apple dylib vorgestellt hatte, testete seinen neuen Angriffstyp auf Yosemite und nimmt an, dass er auf allen OS X-Versionen funktioniert, unter anderem auch auf El Capitan, der neusten Veröffentlichung. Der Forscher hat diese Annahme bereits auf der Beta-Version von El Capitan auf den Prüfstand gestellt und war auch hier in der Lage, Gatekeeper zu umgehen.

„Meiner Meinung nach ist Gatekeeper eine feine Sache“, kommentiert Wardle weiter. „Apple positioniert das Tool als einen Eckpfeiler seiner Sicherheitsstrategie, der Macs sicherer macht als andere Geräte. Tatsächlich aber kann Gatekeeper zwar einen unbedarften Nutzer schützen und primitive Angriffe abwehren – für erfahrene Hacker ist Gatekeeper allerdings keine große Hürde. Die Rede ist hier nicht von einem Bug, sondern von einem funktionalen Fehler in Gatekeeper. Ich nehme an, die Korrektur macht entscheidende Veränderungen im Code erforderlich – ein Patch, mit dem zusätzliche Scans eingeführt werden, wie zum Beispiel bei einem Pufferüberlauf, wird hier kaum etwas nützen.“

Während Apple daran arbeitet, die Situation zu bereinigen, wird den Nutzern empfohlen, vorsichtig zu sein, Apps nur über HTTPS und nur aus vertrauenswürdigen Quellen zu laden. Der Forscher hat keine Informationen über analoge Attacken in freier Wildbahn, doch er hat einmal mehr unterstrichen, dass Gatekeeper in seiner jetzigen Form nicht in der Lage ist, Angreifer aufzuhalten, die in Regierungsnetzwerke eindringen wollen.

Wardle in die Hände gespielt hat auch die Tatsache, dass Apps normalerweise keine Programme und Bibliotheken in anderen Verzeichnissen suchen, das ist kein App-typisches Verhalten. Nach Meinung des Forschers ließe sich das Problem lösen durch die Einführung einer dynamischen Überprüfung der Zuverlässigkeit der Quelle beim Start von ausführbarem Code oder beim Download von Bibliotheken.

„Wenn eine Anwendung oder Bibliothek aus dem Internet geladen wird, zeigt die Überprüfung, ob der Download mit den Einstellungen des Nutzers übereinstimmt, die das Vorhandensein einer Signatur und eine konkrete Quelle, nämlich den App Store, vorschreiben“, erklärt Wardle. „Das ist durchaus machbar und kann eine Attacke im Prinzip stoppen. Wenn ausführbarer Code, der das Vertrauen von Apple genießt, anderen startet, der nicht signiert und gebilligt ist, erkennt der dynamische Hook das sofort. Apple verfügt bereits über ein fertiges Framework zum Abfangen während der Ausführung mit verschiedenen Scans. Ich denke, das ließe sich durch eine solche Kontrolle erweitern.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.