Die Log4Shell-Sicherheitslücke hält seit einigen Tagen Administratoren auf der ganzen Welt in Atem und man kann wohl ohne zu übertreiben behaupten, dass es sich um eine der größten Angriffspunkte der vergangenen Jahre handelt. So gut wie alle großen und kleinen Internetangebote nutzen die angegriffene Java-Bibliothek Log4j, die von Hackern genutzt werden, um beliebigen Code auf dem angegriffenen Server auszuführen. Neben Servern von unter anderem Twitter, Steam, Amazon und vielen kleineren Diensten gilt dies auch für die iCloud-Server von Apple. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte seine Warnstufe für die genannte Sicherheitslücke bereits am Wochenende von Orange auf Rot hochgesetzt und auch das CERT der Deutschen Telekom berichtet von beobachteten Angriffen.

Wenn schon die regulären Nachrichtenkanäle über eine aktuelle Sicherheitslücke in einer vielgenutzten Server-Software berichten, scheint das Problem so gorß zu sein, dass es die breite Mehrheit interessieren könnte. Und in der Tat ist die nun entdeckte Zero-Day-Sicherheitslücke namens Log4Shell als durchaus kritisch zu bezeichnen. Sie steckt in der verbreiteten Java-Bibliothek Log4j, die auch auf vielen wichtigen Servern im Internet genutzt wird und kann von Angreifern genutzt werden, um beliebigen Code auf dem angegriffenen Server auszuführen. Offenbar sind neben Servern von unter anderem Twitter, Steam, Amazon und vielen kleineren Diensten auch die iCloud-Server von Apple. Die schlechte Nachricht: Offenbar sind erste Angriffe bereits durchgeführt worden. Die gute Nachricht: Inzwischen steht ein Update für die Bibliothek bereit, die die ausgenutzte Sicherheitslücke stopft.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits gestern die Warnstufe für die genannte Sicherheitslücke von Orange auf Rot hochgesetzt und auch das CERT der Deutschen Telekom berichtet von beobachteten Angriffen.

??????New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j ??????? We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX

— Deutsche Telekom CERT (@DTCERT) December 10, 2021

Von Apple gibt es bislang noch kein Statement zu der Sicherheitslücke. Man kann allerdings davon ausgehen, dass nicht nur in Cupertino bereits kräftig hinter den Kulissen gewerkelt wird, um die Gefahr einzudämmen. Server-Administratoren, die Log4j einsetzen, sollten in jedem Fall schnellstmöglich auf Version Version 2.15.0 updaten.

Am Wochenende waren Meldungen zu den ersten beiden nativen Malware-Sichtungen speziell für M1-Macs aufgekommen. Wie es aussieht, hat Apple da jedoch schnell drauf reagiert. Auch wenn noch nicht ganz klar ist, welchen Zweck die zweite gesichtete, potenzielle Schadsoftware mit dem Namen "Silver Sparrow" verfolgt, hat Apple nun gegenüber den Kollegen von MacRumors verlauten lassen, dass man die Entwickler-Zertifikate für die betroffenen Konten deaktiviert habe, was dazu führen sollte, dass sich keine weiteren Macs mehr mit der Malware infizieren können. "Silver Sparrow" nutzt offenbar die macOS Installer JavaScript API aus, um ihren Code auf den Mac zu bringen. Apple betonte in seinem Statement auch noch einmal, dass die davon ausgehende Gefahr nach wie vor unklar sei.

Durch den Zertifikatsmeachanismus müssen inzwischen sämtliche Mac-Apps auch außerhalb des Mac AppStore mit einem Entwickler-Zertifikat signiert und an Apple zur Validierung gesendet werden. Hier wird die Software dann automatisiert auf Schadcode gescannt und erst nach erfolgreichem Bestehen freigegeben.

Erst kürzlich wurde die erste Malware entdeckt, die auf einem M1-Mac kompiliert wurde und speziell auf diese Art von Macs abzielt. Nun haben die Sicherheitsspezialisten von Red Canary bereits die nächste Schadsoftware ausgemacht, bei der jedoch das genau Ziel noch unklar ist. Während die kürzlich entdeckte Malware eine sogenannte Adware ist und keinen direkten Schaden auf dem Mac auslöst, sammelt sie im Hintergrund verschiedene Nutzerdaten und blendet jede Menge Werbebanner und Popups ein, die teilweise auch auf schädliche Webseiten verlinken. Da die M1-Variante der Malware noch relativ neu ist, wird sie aktuell noch nicht von den gängigen Virenscannern entdeck.

Die neu entdeckte Malware namens "Silver Sparrow" nutzt offenbar die macOS Installer JavaScript API aus, um ihren Code auf den Mac zu bringen. Die davon ausgehende Gefahr ist allerdings nach wie vor unklar. Weder die Experten von Red Canary, noch ihre Partner konnten ein durch "Silver Sparrow" ausgelöstes Verhalten erkennen. Dennoch warnen die Sicherheitsforscher, dass von der Malware eine ernste Gefahr ausgehen könnte. Es ist also möglich, dass es sich um eine Standby-Malware handelt, die nur darauf wartet, aktviert zu werden.

Die Kollegen von Malwarebytes haben ermittelt, dass "Silver Sparrow" bis zum 17. Februar bereits 29.139 Macs in 153 Ländern befallen hat. Die Schwerpunkte sollen dabei vor allem in den USA, Großbritannien, Kanada, Frankreich und auch Deutschland liegen. Aktuell ist aber unklar, wie viele M1-Maschinen sich darunter befinden.

Gerade erst wurde ein Bericht veröffentlicht, wonach die Verbreitung von Malware auf dem Mac weiter rückläufig ist, da hat der Sicherheitsforscher Patrick Wardle (via Wired) nun offenbar die erste in Umlauf befindliche Malware entdeckt, die speziell auf M1-Macs zielt. Dabei handelt es sich um eine Adware aus der "Pirrit"-Familie namens "GoSearch22", die sich als Safari-Erweiterung auf den Mac schleicht. Ursprünglich wurde diese für Intel x86 Chips geschrieben, präsentiert sich nun aber als Version, die nativ auf einem M1-Mac kompiliert wurde und auf der Plattform läuft.

Während die Malware keinen direkten Schaden auf dem Mac auslöst, sammelt sie im Hintergrund verschiedene Nutzerdaten und blendet jede Menge Werbebanner und Popups ein, die teilweise auch auf schädliche Webseiten verlinken. Da die M1-Variante der Malware noch relativ neu ist, wird sie aktuell noch nicht von den gängigen Virenscannern entdeckt, wie Wardle warnt. Die Sicherheitsexperten von Red Canary ergänzen, dass man auch Anzeichen für weitere M1-Malware im Fahrwasser von "GoSearch22" entdeckt habe, diese aber derzeit noch untersuche.

Vor dem Hintergrund, dass Apple bereits die aktuellen Versionen des 13" MacBook Pro, MacBook Air und Mac mini mit einem M1-Chip bestückt und zugleich angekündigt hat, bis Ende kommenden Jahres sämtliche Mitglieder der Mac-Familie auf Apple Silicon umzustellen, war es nur eine Frage der Zeit, ehe die erste native Malware für diese Plattform auftaucht. Dennoch dürfte der Mac auch weiterhin als vergleichsweise sichere Plattform dienen.

Die Anti-Virus-Spezialisten von Malwarebytes haben ihren aktuellen "State of Malware" Bericht veröffentlicht, aus dem vor allem die Entwicklungen in Sachen Viren- und Malwareverbreitung im vergangenen Jahr hervorgehen. Erneut zeigt sich, dass der Mac nach wie vor eine vergleichsweise sichere Plattform ist. Den Zahlen zufolge waren die Gefahren durch Schadsoftware auf dem Mac im vergangenen Jahr sogar um 38% rückläufig. Wurden von Malwarebytes im Jahr noch insgesamt 120.855.305 Gefahren gesichtet, waren es in 2020 "nur" noch 75.285.427.

Allerdings sind die Zahlen auch ein Stück weit trügerisch. So ging vor allem die Zahl der Adware und unerwünschten Programme zurück, während "echte" Malware wie Backdoors, Data Stealers und Cryptowährungs-Miner um mehr als 61% zunahmen. Festgehalten werden muss dabei allerdings, dass dies in absoluten Zahlen auf dem Mac immer noch recht wenig ist. So machen die genannten Malware-Variationen lediglich 1,5% aller Gefahren auf dem Mac aus, während Adware und unerwünschte Programme für den Rest verantwortlich zeichnen.

Der gesamte Bericht kann auf der Malwarebytes- Webseite eingesehen werden.

Die sicherste Methode, Software für den Mac zu erwerben, ist nach wie vor über den Mac AppStore. Die verschiedenen Beschränkungen, die Apple den Entwicklern dort jedoch auferlegt, führten in der Vergangenheit immer mehr dazu, dass sich diese teilweise aus dem virtuellen Kaufhaus zurückzogen und ihre Software wieder über eigene Kanäle vertreiben. Dabei ist jedoch stets Vorsicht geboten, denn es tauchen aus dubiosen Quellen auch immer wieder manipulierte Versionen von eigentlich vertrauenswürdigen Apps auf. So auch bei einem aktuellen Fall, bei dem eine Malware-verseuchte Version der beliebten Mac-Firewall "Little Snitch" in einem russischen Forum aufgetaucht ist, wie Malwarebytes berichtet.

Die App enthält eine "EvilQuest"-Ransomware, die die Einstellungen und Dateien auf dem Mac verschlüsselt und für ihre Entschlüsselung ein Lösegeld fordert. Dieses ist zwar mit 50,- US-Dollar relativ gering, dennoch sollte niemand den Betrag bezahlen, da eine Entschlüsselung trotz der Zahlung nicht vorgenommen wird. Stattdessen sollte man den Mac auf ein TimeMachine-Backup zurücksetzen, welches man vor der Installtion der infizierten App angefertigt hatte.

Um gar nicht erst Gefahr zu laufen, in derartige Fallen zu tappen, sollte man stets darauf achten, Software ausschließlich von offiziellen Seiten zu erwerben und zu laden - oder eben doch weiterhin auf den Mac AppStore als Quelle zu setzen.

Die Sicherheitsforscher aus Googles Project Zero haben in einem Blogpost auf eine offenbar schon seit längerer Zeit bestehende Sicherheitslücke hingewiesen, über die sich Angreifer mithilfe einer manipulierten Webseite Zugriff auf ein beliebiges iPhone verschaffen können. Ist dies gelungen, konnte ein Code auf das angegriffene Gerät eingeschleust werden, über den verschiedene persönliche Daten wie Kurznachrichten, Fotos oder GPS-Daten in Echtzeit abgegriffen werden konnten. Die Sicherheitsforscher vermuten, dass tausende von Besuchern pro Woche im Zeitraum von ca. zwei Jahren auf entsprechend manipulierte Webseiten zugegriffen haben. Betroffen waren offenbar Betriebssystemversionen von iOS 10 bis zu den ersten Versionen von iOS 12.

Das Project Zero Team setzte Apple von dem Problem im Februar dieses Jahres in Kenntnis, woraufhin das Unternehmen die Lücke noch im selben Monat mit der Veröffentlichung von iOS 12.1.4 schloss. Allgemein wiesen die Sicherheitsforscher darauf hin, dass das Risiko eines solchen Angriffs nie ganz ausgeschlossen werden kann und Apple in diesem Fall sehr schnell reagiert habe. Ein Neustart eines betroffenen Geräts hat den eingeschleusten schadhaften Code übrigens deaktiviert. Generell sollte man sein iPhone also durchaus hin und wieder mal neustarten. Alle Informationen zu dem genutzten Angriffsvektor können auf Googles Project Zero Blog eingesehen werden.