Firmen-Macs beim ersten Start für Angriffe per WLAN anfällig

Wer einen neuen Mac in Betrieb nimmt, muss nach Angaben von Sicherheitsexperten befürchten, dass Dritte sich beim ersten Versuch, das Gerät mit einem WLAN zu verbinden, unerlaubt Zugriff darauf verschaffen. In der Realität ist die Gefahr allerdings recht gering, zumal Apple die dafür ausgenutzte Lücke bereits geschlossen hat. Wie die Sicherheitsspezialisten Jesse Endahl und Max Bélanger anlässlich der Konferenz Black Hat in Las Vegas gegenüber Wired berichteten, gibt es eine Schwachstelle in Apples Device Enrollment Programm (DEP) und der dazugehörigen Mobile Device Management (MDM) Plattform, die normalerweise dazu dienen, in einem Unternehmen ein angepasstes Setup neuer Rechner vorzunehmen, selbst wenn der jeweilige Mitarbeiter von Zuhause arbeitet oder in einem entfernt gelegenen Büro.

DEP und MDM erlauben es im Grunde, ein Gerät von Apple direkt an den Mitarbeiter einer Firma liefern zu lassen, wobei dann beim ersten Aufbau einer WLAN-Verbindung eine automatische Konfiguration nach Vorgaben seines Arbeitsgebers erfolgen kann. Damit das Ganze funktioniert, erhalten die beiden genannten Features aber eben auch weitreichenden Zugriff auf Apples Betriebssystem macOS, was bis vor kurzem auch eine entsprechende Angriffsfläche für Attacken schuf.

Apple hat gepatcht, ältere Systeme dennoch anfällig

Der von Endahl und Bélanger beschriebene Fehler ermöglicht es ihren Angaben zufolge über das Internet auf das jeweilige Gerät zuzugreifen und Schadsoftware zu installieren - noch bevor der Nutzer sich überhaupt zum ersten Mal eingeloggt hat. Apple hat das Problem schon im letzten Monat mit der neuen Version 10.13.6 von macOS High Sierra beseitigt, doch bei bereits früher produzierten und mit einer etwas älteren macOS-Version ausgelieferten Systemen ist die Schwachstelle noch immer ausnutzbar.

Die Lücke besteht offenbar an einer Stelle, an der das Mobile Device Management System an den Mac App Store übergibt, um eine vordefinierte Reihe von bestimmten Apps zu installieren. Dabei erfolgte vor macOS 10.13.6 keine Prüfung der jeweiligen Webserver, über die die Liste der zu installierenden Apps bereitgestellt wird. Ein Angreifer könnte sich also an dieser Stelle mit einem speziell präparierten Server einschleichen und selbst eine Liste zu installierender Software liefern - in der dann auch Malware enthalten sein könnte, so die Theorie der Sicherheitsforscher.

Theoretisch ließe sich mit dieser Methode jeder neue Mac eines bestimmten Unternehmens ins Visier nehmen. Allerdings bedarf es dazu eines enormen Aufwands, weil unter anderem valide Zertifikate nötig sind, so dass eine häufige Ausnutzung höchst unwahrscheinlich erscheint. Nach Meinung der Sicherheitsexperten dürften wenn überhaupt nur Regierungsbehörden und andere hoch motivierte Gruppen die Lücke effektiv ausnutzen können - die entsprechenden finanziellen Mittel vorausgesetzt. Wlan, WiFi, Hotspot Nicolas Nova / Flickr