Wie gelangt eine Schadsoftware auf einen Computer? Oft ist das Verhalten der Nutzer schuld: etwa weil diese unsichere Links anklicken oder Programme installieren, die Sicherheitslücken aufweisen. In anderen Szenarien gibt es Fehler in den Computersystemen von Firmen oder einen physischen Zugriff auf das Gerät. Brandneue Computer stehen eher selten im Verdacht, schon kompromittiert zu sein. Doch Sicherheitsforscher haben nun einen Weg gefunden, um Apples Macs zu infizieren, bevor sich deren Nutzer zum allerersten Mal eingeloggt haben.

Firmengeräte betroffen

Am Donnerstag haben Max Belanger von Dropbox und Jesse Endahl von Fleetsmith, einer Firma für das Management von Systemen mit Macs, die Sicherheitslücke auf der Black-Hat-Konferenz in Las Vegas präsentiert. Die Attacke nutzt Bugs in Apples Services für Firmenkunden. Mit dem Device Enrollment Program und der MobileDevice-Management-Plattform können Macs ab ihrem ersten Einschalten in ein Firmennetzwerk aufgenommen werden.

Gefälschte Aufträge

Sobald sich der Mac mit einem WLAN verbindet, prüft er, ob es von Apple "Befehle" gibt. Wurde er von einem Mitarbeiter einer Firma gekauft, die Apples Business-Services nutzt, wird eine bestimmte Sequenz in Gang gesetzt. Apples Server kommunizieren das dem Mac, wobei die Verbindung eigentlich als sicher gibt. Belanger und Endahl fanden jedoch einen Punkt, an dem ein Angriff möglich ist: So teilt Apple dem Mac mit, welche Programme er aus dem App Store herunterladen kann.

Hacker könnten hier dazwischenfunken und eine gefälschte Anleitung übermitteln. Dann würde der Mac noch vor dem ersten Einloggen des Users bereits Schadsoftware installiert haben. Dadurch, dass der Computer in einem Firmennetzwerk agiert, ist der Eingriff ein perfekter Startpunkt, um weiter in das System eines Ziels einzudringen.

Wirkungsvolle Attacke

Der Angriff ist alles andere als einfach, jedoch äußerst wirkungsvoll. "Dadurch, dass der Angriff so früh im Setup der Geräte stattfindet, gibt es fast keine Einschränkungen, was kompromittiert werden kann", sagt Belanger zu "Wired". Kriminelle Hacker würden die Attacke wohl nicht zusammenbringen – im Gegensatz zu Geheimdiensten. Apple hat mit Mac OS 10.13.6 bereits einen Patch ausgeliefert, allerdings sind ältere Rechner noch in Gefahr. (red, 10.8.2018)