Mehrere Sicherheitslücken in Microsoft-Anwendungen für macOS könnten es Angreifern ermöglichen, Berechtigungen zu übernehmen und dann Zugriff auf Mikrofon, Kamera oder sogar die Fernsteuerung des Macs zu erlangen. Eine aktuelle Analyse von Cisco Talos zeigt diese Sicherheitslücke auf und erklärt, wie der Angriff im Detail funktioniert.
TL;DR – die wichtigsten Infos
- Mehrere Schwachstellen in Microsoft-Apps für macOS entdeckt
- Angreifer können Berechtigungen der Microsoft-Apps ausnutzen, um Mikrofon- und Kamerazugriff zu bekommen
- macOS Anzeigen für Mikrofon und Kamera werden nicht ausgehebelt
- Microsoft arbeitet noch an einer Lösung, hat aber bisher nur Teams und OneNote aktualisiert
Kapitel in diesem Beitrag:
- 1 TL;DR – die wichtigsten Infos
- 2 Analyse von Cisco Talos zeigt Schwachstellen in Microsoft-Apps
- 3 Wie der Angriff funktioniert
- 4 Was bedeutet das in der Praxis?
- 5 Kamera- und Mikrofon-Anzeige funktioniert weiterhin
- 6 Fazit und Empfehlungen
- 7 Meine Tipps & Tricks rund um Technik & Apple
- 8 Ähnliche Beiträge
Analyse von Cisco Talos zeigt Schwachstellen in Microsoft-Apps
Nach Angaben von Cisco Talos wurden mehrere Schwachstellen in macOS-Anwendungen von Microsoft entdeckt, die es Angreifern ermöglichen könnten, Berechtigungen zu stehlen und das System zu kompromittieren. Die Sicherheitslücken betreffen verschiedene Microsoft-Apps, darunter auch weit verbreitete Anwendungen wie Microsoft Office.
Für die Anwendungen Microsoft Teams und OneNote hat Apple offenbar schon Updates ausgeliefert, die das Problem beheben, aber Excel, PowerPoint, Word und Outlook besitzen immer noch die Sicherheitslücke.
Wie der Angriff funktioniert
Die Analyse von Cisco Talos ist technisch recht detailliert beschrieben. Wer die genauen Hintergründe möchte, ist auf dem englischsprachigen Artikel des Unternehmens bestens aufgehoben. Ich bin technisch nicht so versiert, dass ich alles verstanden hätte, aber ich versuche mal grob zu erklären, wie der Angriff ablaufen kann:
- Jede App, die am Mac Zugriffe auf Tastatur, Mikrofon, Kamera etc. möchte, muss erst durch einen Dialog mit dem Benutzer diese Erlaubnis einholen. Verwendet man zum Beispiel Microsoft Teams, muss man der App erst einmal gestatten, dass sie auf die Kamera oder das Mikrofon zugreifen kann.
- Hat der Benutzer einmal diesen Zugriff erlaubt, wird in einer Datenbank hinterlegt, dass die App diese Befugnisse hat und man muss es nicht bei jedem Programmstart neu erlauben.
- Fast alle Apps (nicht nur die von Microsoft) nutzen sogenannten Bibliotheken, was Sammlungen von vorgefertigten Programmfunktionen sind.
- Diese Bibliotheken werden beim Start der Apps geladen.
- Apple hat in macOS eine Sicherheitsfunktion, die nur das Laden von signierten – also geprüften Bibliotheken erlaubt. Dieses Sicherheitsfeature kann man jedoch als Programmierer einer App deaktivieren. Und genau dies hat Microsoft offenbar gemacht.
- Die Folge ist, dass eine Malware, die man sich irgendwie eingefangen hat, manipulierte Bibliotheken in den Microsoft-Apps einschleusen kann.
- Dadurch muss nicht mehr die Malware selbst irgendwie mit Tricks an den Kamera- und Mikrofonzugriff kommen, sondern sie kann einfach die Erlaubnisse nutzen, die der Benutzer schon den Microsoft-Apps gegeben hat.
Das ist nach meinem Verständnis das Vorgehen, wie eine Malware arbeiten könnte, um sich Zugriffsrechte zu erschleichen, die man ihr sonst vermutlich nicht geben würde.
Was bedeutet das in der Praxis?
Sollte ich mir ein Programm herunterladen, das eigentlich nur ein Texteditor ist, dann würde ich mich sehr wundern, wenn diese App plötzlich Zugriff auf Kamera- oder Mikrofon bekommen möchte. Ich würde sicher Verdacht schöpfen, dass hier irgendwas nicht in Ordnung ist und die App löschen.
Wenn die App sich aber einfach weiterhin nur als Texteditor zeigt und im Hintergrund auf meinem Mac dafür sorgt, dass sie weitere Malware in Microsoft Teams einschleust, dann kann ich dies nicht bemerken, weil ich keine Dialogfenster bekomme. Über diesen Umweg würde die App dann aber trotzdem „in“ Microsoft Teams laufen und auch die Zugriffsrechte erben, die ich Teams irgendwann mal gegeben habe.
Diese „Sicherheitslücke“ mit den unsignierten Bibliotheken findet sich sicher auch in vielen anderen Apps, aber Microsoft Office ist nun einmal auf sehr vielen Rechnern schon installiert und sollte daher eigentlich besonders gut abgesichert sein.
Kamera- und Mikrofon-Anzeige funktioniert weiterhin
macOS hat oben rechts in der Menüleiste ja einen violetten, orangen und grünen Punkt, der aufleuchtet, wenn eine App auf die Kamera (grüner Punkt) oder das Mikrofon (oranger Punkt) zugreift oder Audio aufzeichnet (violettfarbener Punkt). Falls eine App den Standort nutzt, erscheint in der Menüleiste ein Pfeil.
Diese Anzeigen kann auch eine Malware nicht umgehen, die die Zugriffsrechte einer anderen App übernimmt. Falls bei euch also diese Punkte erscheinen, wisst ihr, dass irgendeine App gerade den erlaubten Zugriff nutzen. Geht bei einem Texteditor der violettfarbene Punkt für die Audioaufzeichnung an, würden bei mir die Alarmglocken angehen.
Fazit und Empfehlungen
Ich bin sicher, dass Microsoft in kurzer Zeit auch für die noch ungepatchten Programme ein Sicherheitsupdate nachliefern wird. Bis es so weit ist, würde ich empfehlen, die aktuellen Zugriffsrechte aller installierten Apps zu prüfen.
Ihr findet diese Einstellungen unter Systemeinstellungen → Datenschutz & Sicherheit und dort dann zum Beispiel unter dem Punkt „Mikrofon“ oder „Kamera“. Geht die Listen mal durch und überlegt, welche Apps tatsächlich Zugriff auf Festplatte, Standort, Mikrofon oder Kamera benötigen.
Wenn ihr Teams nur sporadisch nutzt, könnt ihr diesen Zugriff auch grundsätzlich deaktivieren und dann anschalten, wenn ihr mal Teams nutzen müsst. Damit würdet ihr auf jeden Fall die aktuelle Sicherheitsproblematik umgehen und verhindern, dass Malware die Rechte der Microsoft-Apps ausnutzen kann, weil die Microsoft-Apps keine Rechte mehr haben.
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
Seit 2012 betreibe ich meinen Blog als Sir Apfelot und helfe meinen Lesern bei technischen Problemen. In meiner Freizeit flitze ich auf elektrischen Einrädern, fotografiere mit meinem iPhone, klettere in den hessischen Bergen oder wandere mit meiner Familie. Meine Artikel behandeln Apple-Produkte, Drohnen-News und Lösungen für aktuelle Bugs.