Makro-Malware für macOS: Forscher warnt vor unterschätzter Gefahr

Ein "Office Drama" naht für macOS-User, fürchtet Patrick Wardle. Makro-Malware könnte Schutzmaßnahmen aushebeln, erläuterte der Forscher auf der Black Hat 2020.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 28 Beiträge

(Bild: Black Hat 2020 (Screenshot))

Von
  • Olivia von Westernhagen

Eine erhebliche Zunahme von Angriffen mit macOS-spezifischer Makro-Malware hat Sicherheitsforscher Patrick Wardle beobachtet. Wie er in seinem Vortrag "Office Drama on macOS" am Mittwoch auf der Konferenz Black Hat 2020 erläutert hat, werden Macs durch ihre zunehmende Verbreitung – vor allem im Business-Bereich, etwa bei jungen Start-ups – zur immer beliebteren Zielscheibe.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Auf Windows-Systemen sind Angriffe mit präparierten MS-Word-Dokumenten ein alter Hut. Die meisten Nutzer haben typische Verhaltensregeln zum Schutz vor schädlichem VBA-Makro-Code verinnerlicht, reagieren misstrauisch auf E-Mail-Anhänge im .doc- oder .docm-Format, und verzichten, soweit möglich, auf die Aktivierung und Nutzung von Makros in Office. Unter macOS hingegen ist Makro-Malware kaum ein Thema und Anwender sind sich möglicher Gefahren viel weniger bewusst.

Zur Verdeutlichung der aus seiner Sicht unterschätzten Gefahr hat der Forscher eine selbst entwickelte Angriffsstrategie vorgestellt, die benötigte Nutzerinteraktionen minimiert ("0-Click") und sogar macOS Catalina-spezifische Schutzmechanismen umgeht. Akute Gefahr für brav updatende Nutzer bringt Wardles Angriffstechnik nicht (mehr) mit sich, da sie in der beschriebenen Form auf Systemen mit aktueller Office- und Betriebssystemversion bereits seit Ende 2019 nicht mehr funktionieren dürfte. Dennoch zeigt sie recht anschaulich die grundsätzlichen Angriffsmöglichkeiten.

Wardle befasst sich bereits seit längerer Zeit mit schädlichen Office-Makros, die auf Macs abzielen. Bereits im Jahr 2017 entdeckte und analysierte er ein damals in freier Wildbahn kursierendes Word-Dokument:

Lesen Sie auch

Wardle hält die Angriffstaktik der vergangenen Jahre im aktuellen Vortrag allerdings für "super lame", da sie vor dem Öffnen stets einen Warnhinweis des Betriebssystems auslösen: Der schädliche Makro-Code kann nur unter der Voraussetzung ausgeführt werden, dass der Nutzer auf "Enable Macros" klickt. Als weitere Einschränkungen bisherigen Schadcodes nannte er die macOS-Sandbox-Umgebung, in der Microsoft Office läuft, sowie die App-Beglaubigungsmechanismen (Notarization), die das Ausführen von Schadcode im Anschluss an einen Sandbox-Ausbruch mitunter verhindern können.

(Bild: Black Hat USA 2020 (Screenshot))

(Bild: Black Hat USA 2020 (Screenshot))

Zum Umgehen der Sicherheitsbenachrichtigung (Schritt 1) nutzt Wardles Methode die Schwachstelle CVE-2019-1457, die Microsoft Ende November 2019 aus den macOS-Versionen von Microsoft Office 2016 und 2019 beseitigte. Die Lücke bestand darin, dass Makros im alten so genannten XLM-Format in Dateien mit .slk-Endung (SYLK-Dateiformat) beim Öffnen derselben automatisch ausgeführt wurden – und zwar auch bei deaktivierter Makro-Funktion.

Den Sandbox-Ausbruch (Schritt 2) bewerkstelligt Wardle mit Hilfe eines fehlerhaften regulären Ausdrucks in Microsofts Sandbox-Regeln für Office, den sein Security-Kollege Adam Chester bereits 2018 in einem Blogeintrag beschrieben hat. Microsoft habe diesen nur unzureichend gefixt. Dank dieses Fehlers war es möglich, aus der Sandbox heraus Dateien an einem (fast) beliebigen Speicherort anzulegen.

(Bild: Black Hat USA 2020 (Screenshot))

Wardles Makro-Code legt ein "Login Item" (oder auch "Startup Item") an, das beim Einloggen des jeweiligen Nutzers automatisch – und nun außerhalb des Kontexts der Sandbox – ausgeführt wird. Das verbleibende Problem mit der "Notarization" nebst Quarantäne-Mechanismus hat Wardle recht kreativ gelöst: Statt einer Executable platzierte er eine ZIP-Datei als Login-Item.

Diese wurde beim Starten vom Archive Utility als "Default Handler" anstandslos entpackt und erzeugte einen Launch Agent, der seinerseits nun eine Reverse Shell starten konnte, ohne Catalinas Sicherheitsmechanismen zu triggern.

(Bild: Black Hat USA 2020 (Screenshot))

Nach Microsoft hat mittlerweile auch Apple nachgebessert: Seit Version 10.15.3 vom Februar 2020 ist Catalina gegen die von Wardle kreierte Angriffskette abgesichert. Eine Bug Bounty erhielt der Forscher allerdings nicht, und auch eine CVE-Nummer wurde nicht vergeben.

Wardle empfiehlt Prozess- und Datei-Monitoring sowie verhaltensbasierte Malware-Erkennung zum Schutz gegen Makro-Schädlinge – sowie die Lektüre seines kostenloses Buches "The Art Of Mac Malware". (ovw)