macOS: Zero-Day-Exploit IOHIDeous veröffentlicht

Systemübernahme mit manipulierter Software

Zum Jahresanfang hat ein Sicherheitsforscher einen Zero-Day-Exploit veröffentlicht, der alle OS-X- respektive macOS-Versionen bis hin zu 10.13 High Sierra betreffen soll – und zur Übernahme des Systems eingesetzt werden kann, wenn der Nutzer entsprechend manipulierte Software ausführt, wie heise.de dazu ausführte.

Laut dem Sicherheitsforscher Siguza basiert der Exploit auf einem Bug in der IOHIDFamily. Er stieß auf den macOS-spezifischen Fehler während der Suche nach Schwachstellen im iOS-Kernel. Dieser könne einer Malware ermöglichen Root-Rechte zu erlangen und damit das System zu kapern.

15 Jahre alte Schwachstelle

Wie der Sicherheitsforscher weiter dazu informierte bestehe, der dem „IOHIDeous“  genannte Exploit zugrunde liegende Fehler  bereits seit dem Jahr 2002. möglicherweise stamme der Bug sogar noch aus NeXT-Zeiten – Nextstep bildete die Basis von Mac OS X. IOHIDFamily, eine Kernel-Extension zur Unterstützung von Eingabegeräten sei schon lange “berühmt-berüchtigt” für Bugs, so Siguza.

Die Schwachstelle ermöglicht unter anderem die Schutzfunktionen von macOS wie System Integrity Protection „permanent zu deaktivieren“ – und eine Root-Shell zu installieren, damit könne sich Malware dauerhaft in das Nutzersystem einlagern. Laut Sicherheitsforscher wurde der Exploit auf folgenden Systemen getestet:

• 10.12 Sierra
• 10.13 High Sierra

Er könne aber auch in älteren Versionen des Betriebssystems funktionieren.

Malware in beliebten Tools verborgen

Laut Siguza funktioniert ein wichtiger Teil von IOHIDeous zur Erlangung von Schreib- und Leserechte auf Kernel-Ebene in der aktuellen High-Sierra-Version 10.13.2 nicht mehr. Trotzdem bestehe die Schwachstelle weiterhin. Der aktuell eingeloggte Nutzer müsse zwangsabgemeldet werden, um den Exploit auszuführen – dies lasse sich aber auch unbemerkt beim Ausloggen durch den Nutzer, einem Neustart oder dem Aus- und späteren Anschalten des Macs durchführen.

Nutzer sollten bis zu einem Patch durch Apple nur Software aus vertrauenswürdigen Quellen beziehen. Wie dazu verlautet wurde im vergangenen Jahr auch mehrfach Malware in beliebten Mac-Tools wie Handbrake und Elmedia Player entdeckt.