Nach Meldungen rund um eine unzureichende Integration von Apples Code-Signing-Schnittstelle in bekannter Sicherheitssoftware hat der Security-Anbieter SentinelOne nun ein Open-Source-Tool veröffentlicht, um Unternehmen vor dieser gefährlichen macOS-Schwachstelle zu schützen.

Am 12. Juni haben die Sicherheitsexperten von Okta auf eine riskante Sicherheitslücke hingewiesen: auf eine mangelhafte Integration von Apples Code-Signing-Schnittstelle in beliebten Sicherheitsanwendungen für MacOS. Diese ermöglicht es Cyberangreifern, Schadprogramme mit einer vermeintlich gültigen Apple-Signatur zu tarnen und auf diese Weise Schutzmaßnahmen zu umgehen.

SentinelOne betont, die eigenen Kunden seien vor dieser Schwachstelle geschützt, da die vom Agenten durchgeführten Vertrauensvalidierungen korrekt sind. Hingegen sind laut Okta diverse Sicherheitsanbieter betroffen, darunter Carbon Black, Google und VirusTotal.

Deshalb hat SentinelOne ein Open-Source-Tool namens „are-you-really-signed“ veröffentlicht, das es Unternehmen ermöglichen soll, zu erkennen, ob eine signierte Binärdatei die oben beschriebene Umgehungstechnik verwendet. Das Tool lasse sich in bestehende Distributionslösungen integrieren und liefere konsistente und gut dokumentierte Rückgabewerte.

Das Open-Source-Tool steht zum Download bereit unter

github.com/Sentinel-One/foss/tree/master/s1-macos-are-you-really-signed.

Weitere Informationen finden sich unter www.sentinelone.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.