Apples Chip-Abteilung hat Hardware-Verbesserungen in die neuen iPhones des Jahrgangs 2025 integriert, die auch komplexe Angriffe auf die Speicherverwaltung der Geräte unterbinden sollen. Das sogenannte Memory Integrity Enforcement (MIE) sei „der Höhepunkt einer bislang beispiellosen Design- und Entwicklungsarbeit, die sich über ein halbes Jahrzehnt erstreckte und die besonderen Stärken der Apple-Silicon-Hardware mit der fortgeschrittenen Sicherheit unseres Betriebssystems kombiniert“, schreibt der Konzern dazu in einem bislang wenig beachteten Blog-Beitrag, der im September veröffentlicht wurde.

iOS 26 ist sicherer, aber nur die neue Hardware hat alle Features

Es sei gelungen, branchenweit erstmals einen permanenten Schutz der Speichersicherheit auf den Geräten zu bieten, ohne dabei Leistungseinschränkungen hinnehmen zu müssen. Das Problem: Die Technik ist teilweise in die Hardware gegossen, läuft also nur mit A19 und A19 Pro in iPhone 17, 17 Pro, 17 Pro Max sowie Air. Zwar wurden auch Verbesserungen in iOS 26 vorgenommen, doch eine Übertragung auf ältere SoCs scheidet bei Schutzmaßnahmen, die Anpassungen an der Hardware erfordern, offenbar aus.

Apple betont, dass es bislang noch keine erfolgreiche, weit verbreitete Malware-Attacke gegen iPhones gegeben habe. „Die einzigen iOS-Angriffe auf Systemebene, die wir in der Praxis beobachten, stammen von sogenannter Söldner-Spyware, die weitaus komplexer ist als normale Cyberkriminalität und Malware, die sich gegen Endverbraucher richtet.“ Söldner- oder auch Mercenary-Spyware wird normalerweise aufgrund des hohen Aufwandes samt hohen Kosten vor allem von Staaten und Geheimdiensten verwendet. Sie betrifft laut Apple nur „eine sehr kleine Anzahl bestimmter Personen“. Doch wirklich so selten kommt dies nicht vor, was sich anhand der Warnmeldungen, die Apple oft selbst an Betroffene herausgibt, feststellen lässt.

Spectre abwehren ohne Leistungs-Penalty?

MIE kombiniert verschiedene Ansätze, um zu unterbinden, dass Schädlinge in Speicherbereiche vordringen können, auf die sie nicht zugreifen dürfen. Dazu gehört die 2019 von ARM publizierte Memory Tagging Extension (MTE), die Apple 2022 zusammen mit der Chip-Firma zur Enhanced Memory Tagging Extension (EMTE) erweiterte. Zusätzliche Maßnahmen im MIE-Paket sollen unter anderem Angriffe über die spekulative CPU-Befehlsausführung wie Spectre V1 aufhalten, ohne dass es zu enormen Leistungseinbrüchen kommt. An der Entwicklung von MIE war laut Apple auch ein Offensive-Research-Team beteiligt, welches das System über fünf Jahre auch praktisch angegriffen und gegen gefundene Angriffe gehärtet hat.

Dabei gelang es den Forschern laut dem Konzern, MIE so im A19 und A19 Pro zu implementieren, dass ein synchrones Tag-Checking auch für schwere Workloads mit „minimalen Performance-Einflüssen“ umgesetzt werden konnte. Wie genau das möglich war, verrät der Konzern bislang allerdings nicht. Funktionieren soll es aber: So brachten auch A19 und A19 Pro wieder Performance-Gewinne. Verschiedene Real-World-Angriffsszenarien, die Apple schildert – über iMessage, Safari sowie Kernel-Exploits – ließen sich durch MIE unterbinden, was die Hoffnung schürt, dass Lücken damit sehr früh in der Exploit-Chain abgefangen werden können.

(bsc)

Die kürzlich bekannt gewordenen Erpressungsversuche nach einer Sicherheitslücke in der E-Business-Suite von Oracle betrifft Dutzende, wenn nicht sogar Hunderte Unternehmen. Das schätzen Googles Sicherheitsexperten nach einer Untersuchung dieser Kampagne. Dahinter steckt eine Gruppe Cyberkrimineller namens Clop, die in der Vergangenheit bereits als Ransomware-Gang aufgefallen ist und mehrere Organisationen nach der Ausnutzung von Systemlücken erpresst hat.

Erst vor wenigen Tagen hat Oracle zur dringenden Installation von Sicherheitsupdates gemahnt, nachdem Angreifer Kunden der E-Business-Suite erpresst haben. Zunächst ging der Hersteller von bereits seit Juli geschlossenen Lücken aus, reichte kurz darauf aber ein Emergency-Update nach. Die entsprechende Lücke ermöglicht Remote Code Execution ohne Authentifizierung (CVSS 9.8) in Oracle 12.2.3 bis 12.2.14. Da der Exploit-Code mittlerweile im Untergrund kursiert, sollten Nutzer dieser Versionen umgehend patchen.

Lösegeld für interne Unternehmensdaten

Die Sicherheitsexperten der Google Threat Intelligence Group (GTIG) und Mandiant schreiben nach einer Untersuchung der Sicherheitslücke und der Erpressungskampagne in einem Bericht, dass die Angreifer Hunderte, wenn nicht Tausende kompromittierte E-Mail-Konten angeschrieben haben. Darin drohen sie, interne Dokumente zu veröffentlichen, sollte das betroffene Unternehmen nicht bezahlen. Konkrete Geldforderungen gibt es beim ersten Kontakt keine, das wird üblicherweise erst nach Beantwortung verhandelt.

Die erbeuteten Daten sollen nach Veröffentlichung aber große finanzielle Verluste der Firmen nach sich ziehen, etwa Bußgelder von Aufsichtsbehörden und Umsatzrückgang nach Ansehensverlust. Die E-Business-Suite wird von Oracle-Kunden zur Verwaltung von Kunden, Lieferanten, Herstellung, Logistik und anderen Geschäftsprozessen verwendet, sodass der Zugriff darauf auch Geschäftsgeheimnisse preisgeben könnte.

Dutzende Opfer bekannt, aber wohl Hunderte betroffen

Auf Nachfrage von Reuters erklärte einer der Autoren des Google-Berichts, Austin Larsen, dass sie von Dutzenden Opfern wissen, aber von noch viel mehr ausgehen. „Angesichts des Ausmaßes früherer Clop-Kampagnen dürften es über hundert sein“, so Larsen weiter. Die Ransomware-Gang selbst hat zuvor nur erklärt, dass sich bald herausstellen wird, dass Oracle „sein Kernprodukt verwanzt“ habe.

2023 hatte Clop Unternehmen nach einer Sicherheitslücke in MOVEit erpresst. Dabei handelt es sich um Datenübertragungssoftware, die von zahlreichen Unternehmen eingesetzt wurde, vor allem Finanzinstituten. Denn kurz darauf wurde festgestellt, dass ING, Deutsche Bank und Co. wegen der MOVEit-Lücke doch stärker betroffen waren. Auch staatliche Stellen wie Ministerien blieben nicht verschont von der MOVEit-Lücke. Im selben Jahr veröffentlichte Clop Gesundheitsdaten von Millionen Menschen in den USA.

(fds)

Mitte September meldete Firewallhersteller Sonicwall einen Einbruch in seine Cloud, bei dem Konfigurations-Backups von Sonicwall-Kunden kopiert worden seien. Das beträfe jedoch nur fünf Prozent der Kunden, hieß es damals in einer ersten Einschätzung des Unternehmens. Diese revidiert Sonicwall nun: Alle Kunden sind betroffen und sollten handeln.

Wie Sonicwall bereits in der ersten Warnmeldung erläuterte, sind Kunden betroffen, die eine optionale Sicherung ihrer Firewall-Konfigurationsdaten in der Cloud des Herstellers aktiviert haben. Gemeinsam mit dem Incident-Response-Experten Mandiant, einer Google-Tochter, untersuchte Sonicwall den Vorfall genauer und fand heraus: Es hat alle Kunden erwischt.

Jetzt handeln und Folgeangriffe abschwächen

Alle Kunden und Partner sind jetzt dringend aufgerufen, sich um eine Milderung der möglichen Folgen des Lecks zu bemühen. Dazu sollen sie sich im Sonicwall-Portal anmelden und alle Geräte – nach ihrer Wichtigkeit sortiert – unter die Lupe nehmen. Dafür gibt es ein ausführliches Playbook, an dem sich Admins entlang hangeln sollten, um es Angreifern nicht zu leicht zu machen.

Die haben bereits erste Attacken gestartet: Es steht zu vermuten, dass die Ransomware-Gruppe Akira und andere Cyberkriminelle über Kopien der Sicherungsdateien verfügen und diese in ihren laufenden Angriffskampagnen schon nutzen.

(cku)