Schwere Sicherheitslücken in Microsoft-Apps für macOS entdeckt

Microsoft Sicherheitslücke

Mehrere Sicherheitslücken in Microsoft-Anwendungen für macOS könnten es Angreifern ermöglichen, Berechtigungen zu übernehmen und dann Zugriff auf Mikrofon, Kamera oder sogar die Fernsteuerung des Macs zu erlangen. Eine aktuelle Analyse von Cisco Talos zeigt diese Sicherheitslücke auf und erklärt, wie der Angriff im Detail funktioniert.

Microsoft Gebäude in Straubing/Deutschland (Foto: Microsoft)
Microsoft Gebäude in Straubing/Deutschland (Foto: Microsoft)

TL;DR – die wichtigsten Infos

  • Mehrere Schwachstellen in Microsoft-Apps für macOS entdeckt
  • Angreifer können Berechtigungen der Microsoft-Apps ausnutzen, um Mikrofon- und Kamerazugriff zu bekommen
  • macOS Anzeigen für Mikrofon und Kamera werden nicht ausgehebelt
  • Microsoft arbeitet noch an einer Lösung, hat aber bisher nur Teams und OneNote aktualisiert

Analyse von Cisco Talos zeigt Schwachstellen in Microsoft-Apps

Nach Angaben von Cisco Talos wurden mehrere Schwachstellen in macOS-Anwendungen von Microsoft entdeckt, die es Angreifern ermöglichen könnten, Berechtigungen zu stehlen und das System zu kompromittieren. Die Sicherheitslücken betreffen verschiedene Microsoft-Apps, darunter auch weit verbreitete Anwendungen wie Microsoft Office.

Für die Anwendungen Microsoft Teams und OneNote hat Apple offenbar schon Updates ausgeliefert, die das Problem beheben, aber Excel, PowerPoint, Word und Outlook besitzen immer noch die Sicherheitslücke.

Wie der Angriff funktioniert

Die Analyse von Cisco Talos ist technisch recht detailliert beschrieben. Wer die genauen Hintergründe möchte, ist auf dem englischsprachigen Artikel des Unternehmens bestens aufgehoben. Ich bin technisch nicht so versiert, dass ich alles verstanden hätte, aber ich versuche mal grob zu erklären, wie der Angriff ablaufen kann:

  1. Jede App, die am Mac Zugriffe auf Tastatur, Mikrofon, Kamera etc. möchte, muss erst durch einen Dialog mit dem Benutzer diese Erlaubnis einholen. Verwendet man zum Beispiel Microsoft Teams, muss man der App erst einmal gestatten, dass sie auf die Kamera oder das Mikrofon zugreifen kann.
  2. Hat der Benutzer einmal diesen Zugriff erlaubt, wird in einer Datenbank hinterlegt, dass die App diese Befugnisse hat und man muss es nicht bei jedem Programmstart neu erlauben.
  3. Fast alle Apps (nicht nur die von Microsoft) nutzen sogenannten Bibliotheken, was Sammlungen von vorgefertigten Programmfunktionen sind.
  4. Diese Bibliotheken werden beim Start der Apps geladen.
  5. Apple hat in macOS eine Sicherheitsfunktion, die nur das Laden von signierten – also geprüften Bibliotheken erlaubt. Dieses Sicherheitsfeature kann man jedoch als Programmierer einer App deaktivieren. Und genau dies hat Microsoft offenbar gemacht.
  6. Die Folge ist, dass eine Malware, die man sich irgendwie eingefangen hat, manipulierte Bibliotheken in den Microsoft-Apps einschleusen kann.
  7. Dadurch muss nicht mehr die Malware selbst irgendwie mit Tricks an den Kamera- und Mikrofonzugriff kommen, sondern sie kann einfach die Erlaubnisse nutzen, die der Benutzer schon den Microsoft-Apps gegeben hat.

Das ist nach meinem Verständnis das Vorgehen, wie eine Malware arbeiten könnte, um sich Zugriffsrechte zu erschleichen, die man ihr sonst vermutlich nicht geben würde.

In der Menüleiste von macOS finden sich Kontrollanzeigen, die aktiviert werden, wenn Apps auf Standort, Kamera oder Mikrofon zugreifen.
In der Menüleiste von macOS finden sich Kontrollanzeigen, die aktiviert werden, wenn Apps auf Standort, Kamera oder Mikrofon zugreifen.

Was bedeutet das in der Praxis?

Sollte ich mir ein Programm herunterladen, das eigentlich nur ein Texteditor ist, dann würde ich mich sehr wundern, wenn diese App plötzlich Zugriff auf Kamera- oder Mikrofon bekommen möchte. Ich würde sicher Verdacht schöpfen, dass hier irgendwas nicht in Ordnung ist und die App löschen.

Wenn die App sich aber einfach weiterhin nur als Texteditor zeigt und im Hintergrund auf meinem Mac dafür sorgt, dass sie weitere Malware in Microsoft Teams einschleust, dann kann ich dies nicht bemerken, weil ich keine Dialogfenster bekomme. Über diesen Umweg würde die App dann aber trotzdem „in“ Microsoft Teams laufen und auch die Zugriffsrechte erben, die ich Teams irgendwann mal gegeben habe.

Diese „Sicherheitslücke“ mit den unsignierten Bibliotheken findet sich sicher auch in vielen anderen Apps, aber Microsoft Office ist nun einmal auf sehr vielen Rechnern schon installiert und sollte daher eigentlich besonders gut abgesichert sein.

Kamera- und Mikrofon-Anzeige funktioniert weiterhin

macOS hat oben rechts in der Menüleiste ja einen violetten, orangen und grünen Punkt, der aufleuchtet, wenn eine App auf die Kamera (grüner Punkt) oder das Mikrofon (oranger Punkt) zugreift oder Audio aufzeichnet (violettfarbener Punkt). Falls eine App den Standort nutzt, erscheint in der Menüleiste ein Pfeil.

Diese Anzeigen kann auch eine Malware nicht umgehen, die die Zugriffsrechte einer anderen App übernimmt. Falls bei euch also diese Punkte erscheinen, wisst ihr, dass irgendeine App gerade den erlaubten Zugriff nutzen. Geht bei einem Texteditor der violettfarbene Punkt für die Audioaufzeichnung an, würden bei mir die Alarmglocken angehen.

Anzeige der Zugriffsrechte auf die Kamera unter macOS
Anzeige der Zugriffsrechte auf die Kamera unter macOS

Fazit und Empfehlungen

Ich bin sicher, dass Microsoft in kurzer Zeit auch für die noch ungepatchten Programme ein Sicherheitsupdate nachliefern wird. Bis es so weit ist, würde ich empfehlen, die aktuellen Zugriffsrechte aller installierten Apps zu prüfen.

Ihr findet diese Einstellungen unter Systemeinstellungen → Datenschutz & Sicherheit und dort dann zum Beispiel unter dem Punkt „Mikrofon“ oder „Kamera“. Geht die Listen mal durch und überlegt, welche Apps tatsächlich Zugriff auf Festplatte, Standort, Mikrofon oder Kamera benötigen.

Wenn ihr Teams nur sporadisch nutzt, könnt ihr diesen Zugriff auch grundsätzlich deaktivieren und dann anschalten, wenn ihr mal Teams nutzen müsst. Damit würdet ihr auf jeden Fall die aktuelle Sicherheitsproblematik umgehen und verhindern, dass Malware die Rechte der Microsoft-Apps ausnutzen kann, weil die Microsoft-Apps keine Rechte mehr haben.

Meine Tipps & Tricks rund um Technik & Apple

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials
Shopping
  •  
  •  

Meine Tipps & Tricks rund um Technik & Apple