Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Cisco warnt: Microsoft-Programme hebeln wichtige macOS-Sicherheits-Features aus

In den letzten Jahren hat Apple viel unternommen, um System, Hardware und Dateien im Desktop-Betriebssystem macOS gegen unerlaubten Zugriff von Schadsoftware abzusichern. Eine relevante Rolle spielen dabei „Transparency, Consent, & Control“ (TCC). Diese können Mac-Anwender hauptsächlich im Dialog „Datenschutz & Sicherheit“ in den (System-)Einstellungen regeln. Je nach Ressource legt man fest, ob eine App darauf zugreifen soll. Sowohl Office-Apps als auch MS-Teams-Clients melden sich bei den macOS-TCC-Einstellungen an. Allerdings erlauben viele Microsoft-Apps das dynamische Nachladen von Libraries. Eine böswillige Erweiterung könnte so Zugriffsrechte „erben“, die Anwender beispielsweise Word oder PowerPoint eingeräumt haben, argumentiert Talos, ein Team von Sicherheitsforschern des Netzwerkspezialisten Cisco, in einer umfangreichen Analyse.


Für die Notarisierung der Microsoft-Apps muss Microsoft die eigenen Programme in der sogenannten „Hardened Runtime“ betreiben, um nachträgliche Änderungen am Programm-Code zu verhindern. Trotzdem will Microsoft den eigenen Apps erlauben, Funktionen über (ungeprüfte) Drittanbieter-Erweiterungen nachzuladen. Diese Eigenschaft erfordert eine spezielle Berechtigung (Entitlement) namens „com.apple.security.cs.disable-library-validation“. Diese war zum Zeitpunkt der Talos-Untersuchung in allen relevanten Office- sowie Teams-Programmen aktiviert. Darüber bestünde, so erklären die Sicherheitsforscher, eine zumindest theoretische Möglichkeit, dass Berechtigungen der Haupt-App für ungeprüften Code bereitstehen. Besonders dramatisch könnten die Folgen bei der Videokonferenz-Lösung „Teams“ sein – diese benötigen Zugriff auf Mikrofon sowie Kamera des Mac; nutzte eine Fremd-Library dies aus, dürfte sie nach Gutdünken Kamera und Mikrofon einschalten und Video- und Audioaufzeichnungen anlegen.

Microsoft bewertet Risiko gering – und bessert nach
Als das Talos-Team den Teams-Hersteller mit den Beobachtungen konfrontierte, wiegelte dieser ab: Es sei unwahrscheinlich, dass diese Lücke ausgenutzt würde. Im Nachgang entfernte Microsoft jedoch bei einigen die entsprechende Berechtigung: Sowohl OneNote als auch drei beanstandete Teams-(Helfer-)Apps verzichten fortan auf das „disable-library-validation“-Entitlement. Office-Programme (Excel, Outlook, Powerpoint, Word) behielten diese jedoch.

Strukturelle Änderungen an macOS notwendig?
Am Ende des ausführlichen Berichts zweifelt das Talos-Team an, dass die Sonderberechtigung überhaupt notwendig sei, die Microsoft den eigenen Programmen einräumt. Schlussendlich schlagen die Sicherheitsforscher vor, diese Erlaubnis in die TCC-Einstellungen aufzunehmen, damit Anwender transparent entscheiden dürfen, ob sie eine spezifische Programmerweiterung zulassen möchten.

Kommentare

Moranai20.08.24 09:32
Aber selbst Backdoors einbauen...
+7
Peter Eckel20.08.24 09:44
Moranai
Aber selbst Backdoors einbauen...
War auch mein erster Gedanke ... Ein Esel schilt den anderen "Langohr".

Paßt aber gut zusammen. Ich meide die Produkte beider Hersteller (meine Kunden leider nicht alle, aber das kann ja noch werden).
Ceterum censeo librum facierum esse delendum.
+5
Blob Ross21.08.24 12:11
Moranai
Aber selbst Backdoors einbauen...

Blindes Vertrauen wäre sicher naiv. Direkt eine nachlässige Sicherheitseinstellung als "Backdoor" zu bezeichnen ist nahezu esoterisch.
Ich verweise hier auf Hanlon's Razor:
"Never attribute to malice that which is adequately explained by stupidity."

Wobei man hier "stupidity" mit "lazyness" oder "negligence" ersetzen muss.
-1
Peter Eckel21.08.24 13:47
Blob Ross
Blindes Vertrauen wäre sicher naiv. Direkt eine nachlässige Sicherheitseinstellung als "Backdoor" zu bezeichnen ist nahezu esoterisch.
Dann hast Du wohl ein paar der "nachlässigen Sicherheitseinstellungen" bei Cisco, die in der Regel die Form von hartcodierten Paßwörtern haben, übersehen.

Einmal ist das Nachlässigkeit. Zweimal Schlamperei. Ab dem dritten Mal ist es Absicht. Und das ist bei Cisco noch nicht das Ende der Fahnenstange.
Ceterum censeo librum facierum esse delendum.
+1
Blob Ross21.08.24 13:51
Peter Eckel
Dann hast Du wohl ein paar der "nachlässigen Sicherheitseinstellungen" bei Cisco, die in der Regel die Form von hartcodierten Paßwörtern haben, übersehen.

Einmal ist das Nachlässigkeit. Zweimal Schlamperei. Ab dem dritten Mal ist es Absicht. Und das ist bei Cisco noch nicht das Ende der Fahnenstange.

Wenn wir uns nur auf Cisco beziehen: Warum sollte Cisco keine möglichen Schwachstellen offenlegen, nur weil sie selbst mal welche erzeugt haben, selbst wenn es Absicht war. Die Tatsache, wie Cisco selbst mit solchen Sachverhalten umgeht ändert weder die Fakten noch die Signifikanz.
0
dimitri.m
dimitri.m22.08.24 13:50
Es geht hier um Talos, inzwischen eine der vielen teueren "Töchter" von Cisco, die eine "angebliche" Backdoor erkannt haben wollen. Diesmal hat es halt "Miniweich" erwischt. Leider ist mir kein bekannter Hersteller derzeit bekannt, der keine Schwachstellen irgendwo bei seinen Gerätschaften vorweisen kann.
Jeder Hersteller setzt entweder auf Bibliotheken von anderen Drittherstellern oder wie auch immer. Das Rad selbst immer wieder neu zu erfinden ist doch viel zu aufwendig und damit auch extrem teuer, letztendlich auch wieder irgendwo gefährlich.
Selbst Apple tut sich doch hier extrem schwer den Spagat zwischen Usability und Security so zu lösen, dass dem Anwender nicht wieder neue Steine in allen seinen Wegen, also Belangen gelegt werden. Siehe Apple's iOS und iPadOS etc.
Ach ja, Talos hat, so glaube ich zu wissen auch bei seiner Mama Cisco IOS, AireOS etc. also bei Cisco selbst in der Vergangenheit diverse offene Scheunentore gefunden.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.