Seitdem KI-Agenten und lokale Sprachmodelle im Mainstream angekommen sind, unternehmen auch immer mehr Anfänger Ausflüge ins macOS-Terminal – und überheben sich dabei möglicherweise. Die größte Gefahr sind sogenannte ClickFix-Angriffe, bei denen Nutzer von Angreifern dazu angeleitet werden, Eingaben in der Kommandozeile zu tätigen, die dann schwerwiegende Lücken ins System reißen und Spy- oder Malware installieren, die man nur schwer wieder loswird. Um die Attacken abzuwehren, bringt macOS seit dem Frühjahr immerhin ein neues Warnsystem mit. Wie genau das intern funktioniert, hatte Apple bislang allerdings nicht beschrieben. Mit einem frisch aufgesetzten Supportdokument ändert sich das nun.

Problematisch für Profis, zumindest am Anfang

Apples Ansatz ist dabei sehr simpel: Das Terminal achtet künftig auf eine „verdächtige Einfügeaktivität“. Auch bekannte Malware in Kommandozeilenbefehlen und Skripts sollen so abgefangen werden, schreibt Apple. Allerdings kann die Warnfunktion auch überempfindlich sein. „Diese Warnung wird angezeigt, wenn du Terminal nicht regelmäßig verwendest und den Befehl von einer Website, einem Chat-Agenten oder einer Nachrichten- oder E-Mail-App kopiert hast“, schreibt Apple. Das heißt: Es ist denkbar, dass die Warnung auch bei harmlosen Befehlen erscheint, was den ein oder anderen Profi – zumindest bei ersten Einfügeaktionen – stören könnte.

Apple warnt, dass Betrüger die besagten Kanäle verwenden, „um Personen anzuweisen, schädliche Befehle in Terminal einzufügen, um deinen Mac zu schädigen oder deine Privatsphäre zu gefährden“. Die Warnung soll sicherstellen, dass „Du nicht dazu verleitet wirst, einen unerwarteten Befehl auszuführen“.

Vollständige Blockade möglich

Apple betont, dass die Warnung dafür sorgt, dass der Mac „nicht beschädigt“ wird – es passiert also schlicht nichts. Nutzer können den Befehl / das Skript jedoch trotzdem einfügen, wenn sie das wünschen. „Füge den Befehl nur ein, wenn du dir sicher bist, was er bewirkt und woher er stammt“, schreibt Apple. „Das Einfügen eines Befehls, für den eine Warnung vor möglicher Malware angezeigt wird, kann den Mac schädigen oder die Privatsphäre gefährden.“

Es gibt allerdings noch eine schwerwiegendere Stufe. Kennt Apple die Befehle oder Skripts bereits als Malware, werden sie grundsätzlich blockiert. Dann erscheint nur eine Warnnachricht. Haut der Konzern hier daneben, scheint es keine Möglichkeit zu geben, die Ausführung durchzuführen. Die einzige Möglichkeit laut Apple: Dem Konzern „einen Fehler“ melden. Wie schnell er dann reagiert: unklar.

(bsc)

Die Secure-Boot-Zertifikate aus dem Jahr 2011 erreichen ihr Lebensende, sie laufen in diesen Tagen ab. Microsoft müht sich redlich seit einem Jahr, dass die Zertifikate weitreichend ausgetauscht werden, einige blinde Flecken gibt es offenbar aber noch immer. Daher reicht das Unternehmen nun eine Anleitung nach, mit der auch Linux-Systeme in der Microsoft-Cloud, virtuelle Maschinen auf Azure, auf neuen Zertifikatsstand kommen.

Darauf weist Microsoft im Windows-Release-Health-Messagecenter hin. Die Anleitung soll Hilfestellung für Linux auf virtuellen Maschinen in der Azure-Cloud liefern, auch für solche mit „Trusted Launch“ (vertrauenswürdiger Start) und „Confidential VMs“, bei denen Secure Boot aktiviert ist. Dafür stellt das Unternehmen jetzt Updates bereit, mit denen Admins sicherstellen können, weiterhin Zugriff auf Plattform-Updates zu erhalten und die Integrität des vertrauenswürdigen Starts beizubehalten. Microsoft empfiehlt Organisationen, die derartige Systeme einsetzen, jetzt die Planungen für Zertifikatsupdates anzugehen, um mögliche Störungen des Secure-Boot-Prozesses zu vermeiden.

Kompakte Hilfestellung

Die Anleitung ist kompakt gehalten und liefert knapp die nötigen Schritte, die IT-Verantwortliche nun nachvollziehen müssen. Auch einige Grenzen der Möglichkeiten mit Updates nennen die Autoren dort. Wenn vertrauliche VMs mit Linux vor dem April 2024 erstellt wurden, sollten Admins sie nicht manuell aktualisieren. Werte für die Laufwerksverschlüsselung sind dort im vTPM versiegelt, und es lässt sich offenbar nicht sicherstellen, dass die Full-Disk-Encryption-Keys nach einem Zertifikatsupdate damit neu versiegelt werden. Das führt dazu, dass die vertrauliche VM in den Wiederherstellungsmodus wechselt. Hier sollen Admins die alten vertraulichen VMs schlicht neu erstellen, sodass sie mit neuen Secure-Boot-Zertifikaten ausgestattet sind – ein spürbarer Mehraufwand.

(dmk)

AMD bringt die RAM-Verschlüsselung TSME für Ryzen-Prozessoren der Generation Zen 5 zurück. Das hat der Prozessorentwickler gegenüber US-Medien angekündigt. Ein entsprechendes Firmware-Update für die betroffenen x86-Prozessoren soll demnach im Juli erscheinen. Mit dem Schritt möchte AMD Protesten von Kunden, die sich übervorteilt erachten, begegnen.

Nicht alle, aber viele AMD-Prozessoren (ab 2016) können den Arbeitsspeicher transparent ver- und entschlüsseln. Diese Funktion namens TSME (Transparent Secure Memory Encryption) schützt vor speziellen Angriffen mit physischem Zugriff auf den Computer, die im RAM vorgehaltene Informationen ohne Erlaubnis auslesen sollen. AMD hat TSME nicht für alle Prozessoren beworben, die es beherrschen. Schon lange hat sich die Funktion auch bei vielen AMD-Prozessoren ohne offizielle TSME-Unterstützung aktivieren lassen, wenn das Mainboard mitgespielt hat.

Doch vor einigen Monaten brachte AMD ein Update für die Firmware-Komponente AGESA heraus, das TSME auf Zen-5-CPUs deaktiviert. Zumal AMD dies heimlich, ohne Vorankündigung und Warnhinweis, getan, und sich auch nach einem Problemhinweis auf Github nicht erklärt hat, waren manche AMD-Nutzer verärgert. Sie forderten die Wiederherstellung des plötzlich verschwundenen Sicherheitsmerkmals. Dieser Forderung wird AMD bald nachkommen.

Marktsegmentierung

Warum TSME überhaupt nachträglich deaktiviert wurde, und warum AMD darüber nicht vorab informiert hat, bleibt indes ungeklärt. Und es wäre keine Überraschung, würde AMD TSME bei zukünftigen Verbraucherprozessoren gezielt verunmöglichen.

Denn TSME ist typischerweise eine Sicherheitsfunktion für teurer verkaufte Businessgeräte, Server und manche Embedded-Systeme. AMD bewirbt TSME bei den CPU-Baureihen Epyc, manchen Embedded-CPUs sowie den „PRO“-Versionen der Ryzen-CPUs für Desktop-PCs und Notebooks, nicht aber bei günstigeren Prozessormodellen.

(ds)