Patrick Wardle hatte sich ein ehrgeiziges Ziel gesetzt. Er wollte einen mit allen Sicherheitsupdates ausgestatteten Apple-Computer nur mithilfe eines Officedokuments hacken. So viel vorweg: Er hat es geschafft – und zwar unter durchaus realistischen Bedingungen. Und damit wieder einmal gezeigt, dass Macs keineswegs so viel sicherer sind als moderne Windows-Computer.

Wardle war einst Malware-Analyst bei der NSA, bevor zu den Tailored Access Operations (TAO) wechselte – also jenen NSA-Spezialisten, die offensive Werkzeuge für den Geheimdienst entwickeln. Mittlerweile arbeitet er für die auf die Verwaltung von Apple-Geräten in Unternehmen spezialisierte Firma Jamf, Wardle selbst gilt als Experte für Mac-Schadsoftware.

In der virtuellen Ausgabe der IT-Sicherheitskonferenz Black Hat, die normalerweise jeden Sommer in Las Vegas stattfindet, hat er sein Experiment jetzt vorgestellt. Und es zeigt sich: Sein Angriff auf den Mac ist eigentlich ein Klassiker der Windows-Hacks – nämlich die Verbreitung von Schadsoftware über präparierte Officemakros.

Wardle fand bisherige Makro-Hacks “lahm”

Makros sind Abfolgen von Anweisungen, die in einem einzelnen Befehl zusammengefasst und in einem Dokument gespeichert werden können. Gerade in Unternehmen helfen sie, Prozesse zu automatisieren, in Microsoft Excel etwa beim Filtern, Sortieren und Importieren von Daten. Aber das automatische Ausführen von Code ist auch seit mehr als 20 Jahren ein Einfallstor für kriminelle Hacker.

Die Angreifer erstellen interessant wirkende Officedokumente, verstecken in deren Makros ihren Schadcode und setzen darauf, dass ihre Opfer die Dokumente öffnen und damit den Code entweder direkt ausführen – oder die Ausführung manuell erlauben, falls der Automatismus aus Sicherheitsgründen deaktiviert ist.

Lange Zeit war das ein reines Windows-Phänomen, weil es schlicht zu wenig Macs gab, als dass sich der Entwicklungsaufwand für kriminelle Hacker gelohnt hätte. Zwischenzeitlich unterstützte die Officeversion für Apples Betriebssystem OS X (das heute macOS heißt) auch gar keine Makros. Mittlerweile aber ist die Zahl der potenziellen Opfer groß genug. Erste Angriffe mit Officemakros auf Macs wurden 2017 entdeckt – Wardle gehörte zu den ersten, die sie analysierten.

Was er und andere bis 2019 sahen, war wohl zumindest teilweise das Werk staatlich unterstützter Hacker. Trotzdem fand Wardle die Hacks “lahm”, wie er dem SPIEGEL am Telefon erzählt. Die Officeanwendung alarmierte die Nutzer, dass ein Dokument Makros beinhaltete, und selbst wer deren Ausführung dann ausdrücklich durch das Anklicken einer Checkbox erlaubte, gab der darin verborgenen Schadsoftware keinen Freifahrtschein. Denn die Officeprogramme laufen in einer sogenannten Sandbox, was darin passiert, bleibt sozusagen abgeschottet von der restlichen Software.

Hinzu kommt, dass Apple 2019 mit macOS 10.15 (Catalina) die sogenannte Beglaubigung von Anwendungen, die außerhalb des App Stores angeboten werden, eingeführt hat. Nicht von Apple überprüfte und beglaubigte Programme führt macOS seither nicht mehr aus, Nutzer bekommen stattdessen einen Warnhinweis angezeigt. “Beglaubigungen sind ein großer Schritt in die richtige Richtung”, sagt Wardle, “aber eine Silberkugel, die vor allen Angreifern schützt, sind sie nicht.”

Vorbei an allen Sicherheitsmaßnahmen

Der Hack, den Wardle dem Black-Hat-Publikum zeigt, löst keine Makro-Warnung aus. Er entkommt der Sandbox und öffnet dem Angreifer eine Hintertür auf den Mac seines Opfers, ohne dass die fehlende Beglaubigung der eigentlichen Schadsoftware ihn bremst. Mit anderen Worten: Ein Klick des Opfers auf ein von Wardle präpariertes Dokument ermöglicht die Installation und Ausführung beliebiger Schadsoftware auf einem Mac.

“Ich finde kreative Wege, legitime Funktionen auszunutzen”, sagt er. Man könnte auch sagen: Er sucht die Ausnahmefälle, in denen bestimmte Kommandos doch erlaubt sind, und dann kettet er sie aneinander. Sein Ausnahme-Hack zeigt, wie schwierig es ist, Computer gegen alle denkbaren Manipulationen abzusichern und gleichzeitig benutzerfreundlich zu halten.

So machte sich Wardle zunächst ein uraltes Dateiformat namens SYLK zunutze, das Microsoft Excel bis heute unterstützt – ohne die bei modernen Dateiformaten längst üblichen Sicherheitsvorkehrungen wie die “geschützte Ansicht”. “Microsoft legt größten Wert auf Kompatibilität”, sagt Wardle. “Wenn du eine Datei aus den Achtzigerjahren hast, will Microsoft, dass du sie öffnen kannst. Einerseits ist das beeindruckend, andererseits ist es aus der Sicherheitsperspektive problematisch.”

In so eine SYLK-Datei steckte er sein bösartiges Makro, geschrieben in einem ebenfalls veralteten, aber immer noch akzeptierten Dateiformat namens XLM. Die Besonderheit von XLM-Makros: Office für Mac 2011 führt sie sofort aus, ohne Warnung. Und die Officeversionen für Mac von 2016 und 2019 taten dies, als Wardle seinen Angriff testete, ebenfalls – sofern die strikteste Makro-Regel aktiviert war.

Es klingt widersinnig, aber diese besonders strenge Einstellung, die eigentlich die Ausführung aller Officemakros verhindert und Nutzern nicht einmal die Möglichkeit gibt, sie ausnahmsweise zu erlauben, machte bei XLM-Makros selbst eine Ausnahme. Das hatten zwei niederländische IT-Sicherheitsforscher als Erste herausgefunden. Die Standardeinstellung von Office hingegen erlaubt das Ausführen von Makros auf ausdrücklichen Nutzerwunsch, womit aber eine unübersehbare Warnung verbunden ist. Welche Option auf einem Mac eingestellt ist, entscheidet in Unternehmen oft die IT-Abteilung, und die könnte es für sinnvoll halten, Makros grundsätzlich zu verbieten.

Der entscheidende Punkt: Das Öffnen der SYLK-Datei durch einen Klick war die einzige Aktion, die das Opfer selbst ausführen musste. Ab dann passierte alles Weitere von allein.

Wardle nutzte nämlich weitere Ausnahmefälle in macOS für bestimmte Dateinamen, -formate und Hintergrundprogramme aus. So konnte er dem Opfer über das Makro in der SYLK-Datei die Bauanleitung für eine Hintertür unterjubeln, die sich beim nächsten Anmelden am Computer von selbst ausführte – mithilfe von Apples eigener, vorinstallierter Software.

Beim übernächsten Anmelden öffnete sich die Hintertür schließlich und gab Wardle die Möglichkeit, Schadsoftware etwa zum Ausspionieren oder zum Erpressen des Opfers einzuschleusen. Weder die digitalen Sicherheitszäune der Sandbox, noch die fehlende Beglaubigung für Wardles Code konnten das verhindern.

Gegenwehr ist möglich

Die Bedingungen für einen erfolgreichen Angriff: Erstens muss die üblicherweise per E-Mail versendete SYLK-Datei jemanden so neugierig machen, dass er sie öffnen will. Eine Social-Engineering-Komponente braucht der Angriff also. SYLK-Dateien werden zwar mit einem Excel-Icon angezeigt und wirken dadurch auf den ersten Blick unverdächtig. Aber wer sich den Dateinamen mit der ungewöhnlichen Endung .slk ansieht, wird vielleicht misstrauisch.

Zweitens muss in Office für Mac 2016 und 2019 nicht die Standardreaktion auf Makros eingestellt sein, sondern die eigentlich strengere. Oder besser: musste. Wardle hat Microsoft und Apple schon im vergangenen November gewarnt. Wer die Ende Januar veröffentlichte macOS-Version 10.15.3 und die hier verlinkten Office-Sicherheitsupdates installiert hat, ist davor geschützt. Drittens könnten sehr aufmerksame Nutzer bemerken, dass ganz kurz Apples Standardprogramm zum Öffnen von ZIP-Dateien startet, wenn sie sich neu anmelden – das ist der Moment, in dem die Hintertür gebaut wird. Da dies aber auch aus anderen Gründen vorkommen kann, ist es alles andere als ein eindeutiges Warnsignal.

Die Updates bedeuten nicht, dass es keine anderen Wege geben kann, Apples Sicherheitsmaßnahmen zu überlisten. Wardle empfiehlt Mac-Nutzern, auch weil sein Arbeitgeber so etwas verkauft, den Einsatz moderner Sicherheitssoftware, die nicht nur nach Signaturen bekannter Schadsoftware sucht, sondern nach verdächtigen Prozessen und verdächtigem Verhalten.

Denn die Entwicklung seines bösartigen Makros, das Ende 2019 in der Lage war, einen vollständig aktualisierten Mac zu infizieren, war für den erfahrenen Angreifer kaum mehr als eine sportliche Herausforderung: “Um den Sandbox-Ausbruch und die Umgehung der Beglaubigung zu entwickeln, habe ich gerade mal einen Tag gebraucht”, sagt Wardle. Aber er ist eben auch ein Ausnahme-Hacker.

Icon: Der Spiegel



Source link

You must be logged in to post a comment.