Gestern haben wir über die von Luca Todesco entdeckte Sicherheitslücke in OS X Yosemite berichtet, mit der ein passwortgeschütztes Ausführen von Shell Befehlszeilen ausgehebelt werden kann.
Im anschliessenden Diskussions-Thread wurde ausgiebig diskutiert, unter anderem auch über die Gefahr dieses Exploits, aber auch, wie man sich am besten verhalten sollte. Auch war der Absatz des Artikels, in dem das Vorgehen beim Aushebeln der Passwortabfrage beschrieben wurde, nicht für jeden zu verstehen gewesen, was zu noch mehr Fragen und Unsicherheit führte. Vielleicht bringt dieser Artikel etwas Licht ins Dunkel.
“Angriffsziel des neuen Exploits ist die Shell. Über I/O-Kit im XNU-Darwin-Kernel wird mit einem Null-Pointer ein Adressraum gesucht, in dem dann eine Payload in einer Root-Shell integriert werden kann.”
Damit ist gemeint, dass durch einen Angreifer durch Ausnutzen der Schwachstelle Root-Rechte erlangt werden, so dass alle weiteren Aktionen ohne Passworteingabe erfolgen können.
Dies kann entweder durch eine Person, die sich Zutritt zum Mac verschafft, oder durch Installation einer nicht signierten Software beziehungsweise einer Software aus dubioser Quelle erfolgen, die im zweiten Schritt nach Erlangen der Rechte Schadcode ausführt oder aus dem Internet nachlädt.
Soll ich nun kein Update auf OS X 10.10.5 durchführen?
Doch! Und zwar aus dem einfachen Grund, dass das Update auf OS X 10.10.5 ebenfalls einige andere Sicherheitslöcher stopft. Es wird sogar ausdrücklich empfohlen, das Update durchzuführen.
Wieso wurde denn mit 10.10.5 dieser Fehler nicht behoben, wenn dieser bereits in allen vorherigen Versionen enthalten war?
Eine Berichtigung war daher bis jetzt nicht möglich, da diese Schwachstelle bisher gar nicht bekannt war. Es wurde auch erst jetzt bekannt, dass sämtliche Versionen von Yosemite mit dieser Schwachstelle behaftet sind.
Wie kann ich mich schützen?
Einen Schutz in Form eines (offiziellen) Software-Patches gibt es derzeit noch nicht.
Ob oder wie schnell Apple diesen nachliefern wird, ist unbekannt. Es wird dringend davon abgeraten, etwaige Patches oder Tools, die einen Schutz versprechen, aus dem Internet herunter zu laden und auszuführen, da man sich hiermit im schlimmsten Fall den Schadcode erst einfängt.
Luca Todesco hat auf Twitter folgende Befehlszeile als „Schutz“ angegeben.
https://twitter.com/qwertyoruiop/status/632752333517127680
Hierzu soll man im Terminal folgende Zeile eingeben:
(Das Ausführen dieser Befehlszeile erfolgt ausdrücklich ohne Gewähr und auf eigene Gefahr.)
sudo nvram boot-args=-no_shared_cr3
Für diesen Befehl sind Admin-Rechte erforderlich. Dies soll Angriffe angeblich verhindern, jedoch auch das System merklich verlangsamen.
Der beste Schutz bis zur Veröffentlichung eines Patches beziehungsweise dem Ausrollen von OS X El Capitan wird es wahrscheinlich sein, erst einmal auf Software ohne Signatur, die nicht aus dem App Store von Apple stammt, zu verzichten. Wenn es gar nicht anders geht, sollte man zumindest darauf achten, dass diese aus einer wirklich vertrauensvollen Quelle stammt.