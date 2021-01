Apples wichtige XPC-Schnittstelle ermöglicht es Malware, erweiterte Rechte zu erlangen: Ein Logikproblem bei der Handhabung von XPC-Services durch den zentralen Prozess launchd lässt sich "einfach ausnutzen und mit 100 Prozent Zuverlässigkeit zur Ausweitung der Rechte" missbrauchen, wie der Sicherheitsforscher Zhipeng Huo nun mitteilte. Auch sei es Schadsoftware so möglich, selbst aus der "restriktivsten Sandbox" auszubrechen.

Lücke nur in macOS 11 und iOS 14 beseitigt

Die Schwachstelle wurde im vergangenen Jahr an Apple gemeldet und ist nach Angabe des Herstellers in macOS 11 Big Sur sowie iOS 14 behoben – es habe das Logikproblem "durch eine verbesserte Überprüfung" beseitigt, schreibt Apple in einer nachgetragenen Anmerkung. Auch in iOS 13.5 wurden schon Gegenmaßnahmen ergriffen, sagte der für Tencents Security Xuanwu Lab tätige Sicherheitsforscher. Ältere Versionen der Betriebssysteme scheinen weiter anfällig, zumindest führt Apple keinen Fix für diese Schwachstelle (CVE-2020-9971) in seinen Release Notes der Sicherheits-Updates für macOS 10.15 oder 10.14 auf.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) stuft das Risiko als "sehr hoch" ein, obwohl sich die Schwachstelle offenbar nur durch lokale Angreifer ausnutzen lässt – und nicht ohne Weiteres aus der Ferne. Im Unterschied zu macOS können Entwickler in iOS die XPC-Services nicht direkt ansprechen, merkt Huo an, doch Apple nutze sie für verschiedene eigene Prozesse mit erweiterten Rechten; entsprechend einfach sei es, "nützliche Ziele" zu finden.

Als Root aus der Sandbox

Der Angreifer ist durch die Lücke in der Lage, einem Systemdienst einen eigenen XPC-Service unterzujubeln, der diesen dann mit Root-Rechten ausführt. launchd soll eigentlich sicherstellen, dass nur bestimmte, berechtigte Prozesse den XPC-Service ausführen dürfen, schlampt dabei jedoch, wie Huo in einer detaillierten Abhandlung des Bugs erläutert.

Erst ab iOS 14 und macOS 11 prüft das System, ob der anfragende Prozess auch tatsächlich der Besitzer des entsprechenden Prozessbereiches ist – und launchd den XPC-Service deshalb ausführen darf oder nicht. Der interne Mechanismus der XPC-Services sei derart komplex, dass darin wohl "viele weitere Logikprobleme" schlummern, so der Sicherheitsforscher.

