Webcam-Zugriff möglich Acht Schwachstellen in Microsoft Apps gefährden macOS-Nutzer

Sicherheitsforscher bei Cisco Talos haben acht Schwachstellen in Microsoft-Anwendungen entdeckt, die für Apple macOS angeboten werden. Diese Sicherheitslücken ermöglichen Angreifern Zugriff auf macOS und die Webcam von Geräten.

Cisco Talos hat mehrere Schwachstellen in Microsoft-Apps für macOS entdeckt. Diese gefährden auch das Betriebssystem und die entsprechende Hardware selbst.

Acht Schwachstellen bei Microsoft gefährden macOS

Die identifizierten acht Schwachstellen ermöglichen es einem Angreifer, durch das Injizieren bösartiger Bibliotheken in die betroffenen Anwendungen, die bereits bestehenden Berechtigungen und Zugriffsrechte dieser Anwendungen zu missbrauchen. Diese Berechtigungen regeln den Zugriff auf kritische Ressourcen wie Mikrofon, Kamera, Ordner, Bildschirmaufzeichnung und Benutzereingaben. Ein erfolgreicher Angriff könnte dazu führen, dass ein Angreifer ohne das Wissen des Benutzers sensible Informationen ausspäht oder sogar erhöhte Privilegien erlangt.

Microsoft sieht diese Schwachstellen als geringes Risiko an und hat bisher keine Maßnahmen ergriffen, um die alle betroffenen Anwendungen zu patchen. Einige der betroffenen Apps erfordern laut Microsoft das Laden unsignierter Bibliotheken, um Plugins zu unterstützen, was die Schwachstellen weiter verschärft. Zu den betroffenen Anwendungen gehören unter anderem Microsoft Outlook, Teams, PowerPoint und Excel.

Ein zentraler Aspekt des macOS-Sicherheitsmodells ist das Sandboxing, das sicherstellt, dass Anwendungen nur auf die Ressourcen zugreifen können, die sie explizit anfordern. Zusätzlich zum Sandboxing verlangt macOS für notarized Apps die Aktivierung des sogenannten hardened runtime, um die Anwendung resistenter gegen Exploits zu machen. Diese Sicherheitsfunktion umfasst unter anderem den Schutz vor Code-Injection-Angriffen, indem sie nur das Laden von Bibliotheken zulässt, die vom Entwickler der Anwendung oder von Apple signiert sind. Eine Ausnahme stellt jedoch die com.apple.security.cs.disable-library-validation Berechtigung dar, die es Entwicklern ermöglicht, diese Schutzfunktion zu umgehen, um beispielsweise Plugins zu unterstützen. Genau diese Ausnahme ist eine der Ursachen für die von Cisco Talos identifizierten Schwachstellen.

Die Möglichkeit, Bibliotheken in laufende Prozesse zu injizieren, eröffnet Angreifern die Möglichkeit, die bereits gewährten Berechtigungen und Zugriffsrechte einer Anwendung zu missbrauchen. Diese Technik, bekannt als Dylib Hijacking, ist besonders gefährlich, da der Angreifer alle Rechte der kompromittierten Anwendung übernehmen kann, ohne dass der Benutzer dies bemerkt. Dies könnte beispielsweise dazu führen, dass ein Angreifer über eine infizierte Anwendung heimlich Audioaufnahmen macht, Videos aufzeichnet oder E-Mails versendet.

Microsoft hat in seinen Anwendungen die hardened runtime aktiviert, jedoch gleichzeitig die Validierung von Bibliotheken deaktiviert, was diese Anwendungen anfällig für Bibliotheks-Injection-Angriffe macht. Ein weiterer Punkt ist, dass Microsoft bisher keine ausreichenden Maßnahmen ergriffen hat, um diese Schwachstellen zu beheben, was die Benutzer weiterhin potenziellen Risiken aussetzt. Die Verwendung der com.apple.security.cs.disable-library-validation Berechtigung in Microsofts macOS-Anwendungen ist besonders problematisch, da diese Berechtigung die Sicherheitsmechanismen der hardened runtime untergräbt und so das Risiko für die Benutzer erhöht.

(ID:50144216)