Het Mac-besturingssysteem van Apple is kort na elkaar hard geraakt door twee kwetsbaarheden die aanwezig zijn in de nieuwste, volledig gepatchte versie. De eerste kwetsbaarheid is ontdekt door de beruchte iOS-jailbreaker Stefan Esser en geeft een gewone gebruiker ineens root-rechten op een Mac. In de vorm waarin Esser het vorige maand heeft geopenbaard, is er wel lokale toegang tot de computer nodig. Kwaadwillenden hebben deze zogeheten DYLD-exploit echter ingezet voor adware die via internet zijn malafide werk doet.

Adware al actief

Security-onderzoeker Adam Thomas van Malwarebytes heeft de geopenbaarde Mac-kwetsbaarheid aangetroffen in een nieuwe adware-installer. Deze is digitaal ondertekend met een toen valide Apple Developer ID en doet zich voor als een nuttig programma. Eenmaal geïnstalleerd haalt de installer stiekem ongewenste software binnen. Dit is de VSearch-adware naast nog een variant van de Genieo-adware en de MacKeeper-software die bekend staat als scareware.

Esser wordt nu bekritiseerd omdat hij Apple niet zou hebben ingelicht. Toch is Apple op de hoogte, doordat een andere onderzoeker de DYLD-fout in OS X heeft ontdekt en stilletjes gemeld, blogt Malwarebytes. Terwijl Apple nog werkt aan een oplossing voor deze Mac-kwetsbaarheid, biedt Esser wel een eigen fix om het gat af te dekken. Dit is echter een kernel-extensie voor het besturingssysteem wat niet iets is dat een gewone gebruiker zomaar installeert.

Niet wachten op El Capitan

In de bèta van OS X 10.11 (El Capitan) is de DYLD-fout al wel gecorrigeerd. Volgens Apple’s planning komt 10.11 komende herfst uit. De huidige OS X-versie (Yosemite) krijgt binnenkort een update (naar versie 10.10.5) en in de tweede bèta daarvoor is DYLD ook gefixt. Apple maakt dus haast met het dichten van dit gat, dat in de praktijk al wordt misbruikt.

Ondertussen valt Yosemite ook voor een tweede aanval, waarbij kwaadwillende software zich geniepig kan verstoppen diep in de hardware. De zogenoemde Thunderstrike 2-worm kan zich innestelen in Macs én in randapparatuur voor Apple’s Thunderbolt-aansluiting, zoals een Thunderbolt Ethernet-adapter. Dankzij laatstgenoemde eigenschap kan deze malware zichzelf ook zonder netwerkverbinding verspreiden.

Zelfs formatteren helpt niet

Bovendien helpt het verschuilen in de firmware van Apple-computers tegen opruiming van de malware. Zelfs drastische maatregelen zoals het herinstalleren van het besturingssysteem, het formatteren of vervangen van de harde schijf helpen dan niet tegen besmetting. Alleen het opnieuw ‘flashen’ van de geïnfecteerde firmware-chip biedt uitkomst.

Thunderstrike 2 gebruikt een vijftal kwetsbaarheden in Macs om zijn malafide werk te kunnen doen. Twee daarvan, waaronder één die de worm binnenliet via het web, zijn al gedicht in het huidige OS X 10.10.4. De andere drie gaten staan op dit moment echter nog open. Gelukkig voor Mac-gebruikers is deze malware niet in het wild opgedoken. De makers van Thunderstrike 2 doen hun bevindingen uit de doeken op hackersconferentie Black Hat die deze week plaatsvindt in Las Vegas.