Mac van afstand overgenomen met oude Windowstruc

Patrick Wardle

Patrick Wardle

Mac wordt altijd gezien als een veilige computer, maar de voormalige e-kraker in dienst van de Amerikaanse veiligheidsdienst NSA Patrick Wardle is er in geslaagd een Mac op afstand over te nemen met een oude truc om Windowsmachines binnen te dringen.
Wardle had zich ten doel gesteld om een van alle veiligheidsmogelijkheden voorziene Mac van een afstand over te nemen met behulp van een Officedocument. Hij heeft het voor elkaar gekregen onder vrij realistische omstandigheden. Dat zou bewijzen dat Macs niet veiliger zijn dan de moderne Windowsrekentuigen.
Ooit was Wardle bij de NSA een specialist op het gebied van kwaadaardige programmatuur zoals wormen en virussen voor hij zich daar bekwaamde in het ontwikkelen van digitale inbraakmiddelen voor die dienst. Inmiddels werkt hij voor een bedrijf dat zich richt op Apple-computers en vooral op de kwaadaardige progjes die daarvoor in omloop zijn.

In een virtuele versie van de e-krakersbijeenkomst Black Hat heeft hij het voorstel gedaan en het blijkt dat het mogelijk is met een geprepareerd Officedocument virussen en ander ongerief te verspreiden op ‘volledig beveiligde’ Macs. Daarbij maakte hij gebruik van macro’s waarbij een aantal commando’s is gebundeld in een macro. Die macro’s worden gebruikt om processen te automatiseren in allerlei programma’s, bijvoorbeeld bij het filteren, sorteren en invoeren van gegevens in een Excel-bestand. Die macro’s zijn echter al twintig jaar een geducht wapen van criminele e-krakers.

Maak een interessant ogend Officedocument en verberg je kwalijke code in de macro’s. De ontvanger moet het document wel openen om zijnhaar machine uit te leveren aan de aanvaller.

Ook de Mac

Dat was lang een probleem voor alleen Windows. Mac was te onbeduidend om daar moeite voor te doen. De Officeversie van de Macs ondersteunde ook geen macro’s, maar inmiddels is de ‘doelgroep’ groot genoeg. De eerste aanvallen op Macs met macro’s werden in 2017 ontdekt. Tot 2019 zou het vooral om pogingen van e-krakers in staatsdienst zijn gegaan.

Die aanvallen waren krachteloos volgens Wardle. De gebruiker kreeg de melding dat het document macro’s bevatte en zelfs als hij/zij toestemming gaf die uit te voeren kreeg de daarin verborgen kwalijke code geen vrijkaart. Die kwam terecht in een ‘zandbak’ (sand box) en bleef gescheiden van de andere programmatuur.
Vorig jaar in Catalina (macOS 10.15) kwam Apple met het idee dat toepassingen van buiten de Applewinkel geauthentiseerd moeten worden anders werken die niet. Dat is volgens Wardle een stap in de goede richting, maar is geen absolute vrijwaring van aanvallen.

Wardles macro-aanval gaf geen macromelding te zien. De code komt ook niet in de zandbak terecht en opent een achterdeurtje in de Mac van het slachtoffer. Dus een klik op het besmette document door het slachtoffer en Wardle, in dit geval, is binnen. “Ik zoek creatieve manieren om legitieme functies te gebruiken. ” Hij laat in ieder geval zien dat absolute veiligheid een utopie (b)lijkt.

Bron: der Spiegel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.