macOS-Rechteausweitung ## Überblick macOS verwendet ein mehrschichtiges Berechtigungsmodell, um den Systemzugriff zu kontrollieren. Das Verständnis dieses Modells ist sowohl für die defensive Sicherheit als auch für das Erkennen potenzieller Schwachstellen unerlässlich. ## Benutzer- und Gruppenberechtigungen macOS basiert auf Unix-Dateiberechtigungen. Jede Datei und jedes Verzeichnis hat einen Eigentümer, eine Gruppe und einen Berechtigungssatz, der festlegt, wer lesen, schreiben oder ausführen darf. - **Eigentümer (Owner):** Die Person, der die Datei gehört - **Gruppe (Group):** Eine Sammlung von Benutzern mit gemeinsamen Berechtigungen - **Andere (Others):** Alle übrigen Benutzer ## Das Root-Konto Root ist das Superuser-Konto unter macOS. Root-Zugriff bedeutet vollständige Kontrolle über das System. Unter macOS ist das Root-Konto standardmäßig deaktiviert, kann aber von Administratoren aktiviert werden. ## sudo und Rechteausweitung `sudo` (superuser do) ermöglicht autorisierten Benutzern, Befehle als ein anderer Benutzer auszuführen – in der Regel als Root. Häufige Verwendungsbeispiele: - `sudo command` – Befehl als Root ausführen - `sudo -u username command` – Befehl als ein bestimmter Benutzer ausführen - `sudo -l` – Erlaubte sudo-Befehle auflisten ## System Integrity Protection (SIP) SIP ist eine macOS-Sicherheitsfunktion, die bestimmte Systemdateien und -verzeichnisse auch vor Root-Benutzern schützt. SIP schränkt den Zugriff auf folgende Verzeichnisse ein: - `/System` - `/usr` - `/bin` - `/sbin` ## Häufige Vektoren zur Rechteausweitung Das Verständnis dieser Vektoren ist wichtig für das Sichern von Systemen und das Erkennen von Schwachstellen: 1. **Fehlkonfigurierte Dateirechte** – Dateien, die von nicht privilegierten Benutzern beschreibbar sind 2. **Verwundbare SUID/SGID-Binärdateien** – Programme, die mit erhöhten Rechten ausgeführt werden 3. **Pfad-Hijacking** – Ausnutzung von Suchpfad-Schwachstellen 4. **Schwachstellen in Diensten** – Ausnutzung von Diensten, die mit erhöhten Rechten laufen 5. **Kernel-Exploits** – Ausnutzung von Kernel-Schwachstellen ## Sudo-Rechte überprüfen Um zu sehen, welche sudo-Berechtigungen einem Benutzer zugewiesen sind: ```bash sudo -l ``` Die Ausgabe zeigt, welche Befehle mit erhöhten Rechten ausgeführt werden dürfen. ## SUID-Binärdateien finden SUID-Dateien werden mit den Rechten des Dateieigentümers ausgeführt und können ein Risiko darstellen, wenn sie falsch konfiguriert sind: ```bash find / -perm -4000 -type f 2>/dev/null ``` ## World-Writable-Dateien finden Dateien, die von jedem Benutzer beschrieben werden können, können ein Sicherheitsrisiko darstellen: ```bash find / -perm -2 -type f 2>/dev/null ``` ## Empfehlungen zur Schadensbegrenzung Zum Schutz vor Rechteausweitung sollten folgende Maßnahmen umgesetzt werden: - SIP aktiviert lassen - Das Prinzip der minimalen Rechte (Least Privilege) anwenden - Regelmäßige Sicherheitsupdates installieren - Sudo-Berechtigungen überwachen und einschränken - Systemprotokolle auf verdächtige Aktivitäten prüfenNo Admin? Kein Problem: Wie ein normales macOS-Konto Ihren EDR lautlos lahmlegen kannXM Cybers Forschung enthüllt eine verkettete Technik, die das Vertrauensverhalten von macOS ausnutzt, um CrowdStrike, Kandji MDM und mehr zu entladen – ohne eine einzige Berechtigungsabfrage.

• macOS-Sicherheit
• XM Cyber
• Endpunkterkennung und -reaktion
• Privilegienerweiterung

Patch Tuesday·Jun 26, 2026·5 min readStory lesen