CVE-2019-8761: macOS gehackt mittels verfremdeter Textdatei

Der Programmierer Paulos Yibelo beschreibt auf seinem privaten Blog wie es ihm gelang, macOS mittels des Bugs CVE-2019-8761 zu übernehmen.

In Pocket speichern
Bildquelle: Hacker Noon

Der Programmierer Paulos Yibelo beschreibt auf seinem privaten Blog wie es ihm gelang, macOS mittels des Bugs CVE-2019-8761 und einer präparierten Textdatei zu infizieren. Wer glaubt, reine Textdateien oder Texteditoren seien grundsätzlich eine sichere Sache, werden damit eines Besseren belehrt. Dem Opfer wird ein unverfänglich aussehender Text angezeigt.

CVE-2019-8761 gefährlich beim Einsatz von Textedit

CVE-2019-8761

Wer sein macOS Catalina noch nicht auf den neuesten Stand gebracht hat, sollte beim Betrachten von Textdateien lieber vorsichtig sein. Mittels des Bugs CVE-2019-8761 kann man mithilfe der Apple Software Textedit den Zielrechner mit Schadsoftware infizieren und komplett übernehmen.

Paulos Yibelo nahm für sein Experiment eine reine .txt Datei und wandelte den Inhalt in das RTF-Format um. Somit konnte er HTML-Code einbauen, der von macOS nicht blockiert sondern ausgeführt wurde. Bei ersten Testläufen gelang es ihm, die Schadsoftware über das Tor-Netzwerk nachzuladen. Er nutzte dafür das bei Github verfügbare Tool HTTPLeaks von Cure53.

Aufgrund einer weiteren Schwachstelle wurde bei der Verbindung mit der Webseite sogar trotz eines DNS-Servers die echte IP-Adresse des Opfers preisgegeben. Der Empfänger der verfremdeten Textdatei ahnt nichts, ihm wird nur ein ganz normaler Text angezeigt.

Die Lücke haben die Entwickler bei Apple mit einer niedrigen Priorität versehen. Obwohl man ihnen CVE-2019-8761 schon im Dezember 2019 gemeldet hat, hat der Hersteller den Bug erst im August des letzten Jahres gepatched. Yibelo hat keine Schritt-für-Schritt-Anleitung veröffentlicht. Doch er glaubt, sein Blogbeitrag dürfte für die meisten Hacker schon ausreichend sein um zu wissen, wie sie den Rest bewerkstelligen können.

Als einzige Voraussetzung für einen erfolgreichen Hack bleibt, dass sich das Opfer die vermeintlich sichere Textdatei anschaut und noch nicht das entsprechende Sicherheitsupdate von macOS Catalina eingespielt hat.

Das Ganze demonstriert mal wieder eine Sache. Nämlich, dass im IT-Sektor rein gar nichts sicher ist. Zumindest darauf kann man sich verlassen…

Lesen Sie auch

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.