Die Forschungs- und Entwicklungsabteilung von F-Secure hat eine Sicherheitslücke in macOS Gatekeeper entdeckt, die es einem Angreifer ermöglicht, ahnungslose Anwender mit Malware zu infizieren. Angreifer können Anwender mit dieser Schwachstelle kompromittieren, indem sie sie dazu verleiten, eine speziell gestaltete .zip-Datei herunterzuladen (z. B. über Phishing), die die Schwachstelle ausnutzt und es ihnen ermöglicht, die Codesignatur- und Zertifizierungsprüfungen von macOS Gatekeeper zu umgehen.
Die Sicherheitslücke, CVE-2021-1810, wurde ursprünglich Ende 2020 entdeckt. Apple hat Anfang dieser Woche Patches sowohl für Big Sur als auch für Catalina veröffentlicht. F-Secure hat keine Beweise dafür gesehen, dass diese Schwachstelle bereits für Angriffe ausgenutzt wurde. Es sind auch keine Berichte von Dritten bekannt. Es gibt jedoch noch andere Schwachstellen, die durch die Updates behoben werden, so dass es für Benutzer wichtig ist, die Patches so bald wie möglich zu installieren.
Obwohl Apple inzwischen Patches für die Schwachstelle herausgegeben hat, warten wir mit der Veröffentlichung eines detaillierten Berichts, bis die Benutzer mehr Zeit hatten, ihre Geräte zu aktualisieren (was hoffentlich bald der Fall sein wird). Die Grundlage des Exploits ist jedoch eine speziell präparierte Zip-Datei.
Gatekeeper ist eine Funktion des macOS-Betriebssystems, die die Anwender von Mac-Computern vor Malware schützen soll, indem sie die Ausführung von Software aus nicht vertrauenswürdigen Quellen verhindert. Im Grunde bedeutet das, dass Gatekeeper Anwendungen blockiert, die nicht mit einem von Apple ausgestellten Zertifikat (Developer ID) signiert und von Apples Zertifizierungsdienst genehmigt sind.
Jede Software, die als .zip-Datei verteilt wird, könnte einen Exploit für diese Sicherheitslücke enthalten. Es gibt jedoch ein paar abmildernde Faktoren. Zum einen sind Anwendungen, die über Apples App Store heruntergeladen werden, nicht von diesem Problem betroffen. Ebenso enthalten Anwendungen, die als macOS Installer-Pakete (.pkg, .mpkg) ausgeliefert werden, ein Installer-Zertifikat, das unabhängig von Gatekeeper überprüft wird. F-Secure hat zudem Erkennungsfunktionen entwickelt, die verhindern, dass diese Dateien auf Rechnern mit unseren Endpoint-Protection Produkten ausgeführt werden, sodass unsere Anwender sicher sind.
Zusätzlich können fortgeschrittene Anwender die Codesignatur jeder heruntergeladenen Anwendung mit “codesign -v” und “codesign -dv” im Terminal manuell überprüfen.
Wie bereits erwähnt, sollte jedoch jeder Anwender die Software aktualisieren, um sicherzustellen, dass er vor dieser und anderen Bedrohungen sicher ist.
Veröffentlichungszeitraum
| 09.12.2020 | Sicherheitslücke entdeckt von F-Secure R&D |
| 11.12.2020 | Offenlegung der Schwachstelle an Apple Product Security |
| 14.01.2021 | Erkennung für F-Secure Endpoint Protection-Produkte freigegeben (F-Secure SAFE, F-Secure Computer Protection, F-Secure Client Security) |
| 22.04.2021 | Apple bestätigt, dass der Bericht im nächsten Update-Zyklus bestätigt wird |
| 26.04.2021 | Apple veröffentlicht Sicherheitsupdate 2021-002 Catalina und macOS Big Sur 11.3 |
Kategorien