MacBook mit Excel-Dokument gehackt

Der ehemalige NSA-Hacker Patrick Wardle konnte ein Aplle MacBook aus der Ferne feindlich übernehmen – mit einem Trick, der eigentlich als klassischer Windows-Hack gilt. Wie sich Nutzer und Unternehmen schützen können.  

Das Experiment 

Das Ziel von Patrick Wardle war ehrgeizig und doch hat er es geschafft was viele IT-Spezialisten für unwahrscheinlich hielten. Er hatte einen mit allen Sicherheitsupdates ausgestatteten Apple-Computer nur mithilfe eines Exceldokuments gehackt und damit bewiesen, dass Apple-Computer nicht viel sicherer sind als Computer mit einem Windowsbetriebssystem.  

Doch wer ist Patrick Wardle? Als ehemaliger Malware-Spezialist war Wardle für die NSA tätig, entwickelte Technologien zur Überwachung und gilt vor allem als der Experte rund um MAC-Schadsoftware. In der diesjährigen IT-Sicherheitskonferenz in Las Vegas hat er nun sein Experiment vorgestellt. Sein Angriff und die Verbreitung von Schadsoftware auf den Apple-Computer gelang mit einem klassischen präparierten Officemakro.   

Als Makro in einem Officedokument bezeichnet man die Abfolgen von einzelnen Befehlen, die in einem z.B. Office-Dokument gespeichert werden. In der Praxis werden Makros oft in Excel-Tabellen hinterlegt, um Sortierprozesse oder das Importieren von Daten zu ermöglichen. Dass Makros in Officedokumenten ein Einfallstor für kriminelle Hacker sind, ist aber schon lange bekannt. Beim Öffnen des Dokuments wird in der Regel auch das Makro ausgeführt, außer die Sicherheitseinstellung verhindert diese Automatisierung.  

Schutzmaßnahmen beim Apple 

Was bei einem Windowsrechner bis dato gut gelang, war für Mac-basierte Betriebssysteme eher ungefährlich. Das lag vor allem an der geringeren Anzahl vorhandener Apple-Computer und dem damit verbundenen hohem Entwicklungsaufwand seitens der kriminellen Hacker. Doch seit einigen Jahren nimmt die Bedrohung zu und auch erste Versuche Mac-basierte Betriebssysteme zu hacken sind seit 2017 bekannt.  

Bisher ging man davon aus, dass Apple-Computer gut gesichert gegen diese Angriffe gerüstet waren. Denn die Officeanwendung alarmierte die Nutzer, dass ein Dokument Makros beinhaltete. Selbst die ausdrückliche Ausführung des Makros durch das Anklicken einer Checkbox, gab der darin verborgenen Schadsoftware keinen Freifahrtschein. Denn die Officeprogramme laufen in einer sogenannten Sandbox, was darin passiert, bleibt abgeschottet von der restlichen Software. 

Wie gelang der Angriff im Detail? 

Der Angriff von Wardle löste in diesem Fall keine Sicherheitswarnung aus. Zusätzlich gelang er mit seinem Hack auch auf das System außerhalb der Sandbox. Es war ihm anschließend möglich beliebige Schadsoftware zu installieren und auszuführen. Dabei machte sich Wardle zunächst einmal ein uraltes Dateiformat namens SYLK zunutze, denn dieses wird immer noch von Microsoft Excel unterstützt und verfügt aufgrund von Kompatibilitätsgründen nicht über die gleichen Sicherheitsstandards wie moderne Formate. In die SYLK-Datei versteckte Wardle sein bösartiges Makro, geschrieben in einem ebenfalls veralteten, aber immer noch akzeptierten Dateiformat namens XLM. Die Besonderheit von XLM-Makros: Office für Mac 2011 führt sie sofort aus und das ohne Warnung. Die Officeversionen für Mac 2016 und 2019 taten dies gleich.  

Wie kann das verhindert werden?  

Wichtig ist die Installation des Ende Januars veröffentlichten macOS-Update 10.12.3 in Verbindung mit dem aktuellen Sicherheitsupdate von Microsoft Office – erst dann wird die Ausführung des schädlichen Makros verhindert. Zudem könnte der aufmerksame Anwender erkennen, dass bei der Anmeldung das Apple-Standardprogramm zum Öffnen von ZIP-Dateien startet. Das ist nämlich der Moment, in dem die Schadsoftware sich durch das Hintertürchen außerhalb der Sandbox schleicht. Dies kann, muss aber nicht ein Warnsignal sein – so Wardle.  

Wardle erwähnt zudem den Einsatz weiterer moderner Sicherheitssoftware, die eben nicht nur nach Signaturen bekannter Schadsoftware sucht, sondern auch nach verdächtigem Verhalten und ungewöhnlichen Prozessen. Achten Sie zudem auf veraltete Dateiformate und öffnen Sie diese erst nach Rücksprache mit dem Versender oder in Absprache mit der IT-Abteilung.  

Gerne können Sie uns bei Fragen jederzeit kontaktieren- ihr Team der WS Datenschutz GmbH steht Ihnen stets zur Verfügung.