2314934

Was Sie über die Root-Lücke in macOS High Sierra wissen müssen

02.12.2017 | 11:40 Uhr |

Wieder einmal hat es eine fatale Sicherheitslücke in eine finale Version von macOS geschafft. Die Kombination aus „root“ und einem leeren Passwort verschafft volle Nutzerkontrolle in den Systemeinstellungen. Apple hat mit einem Sicherheitsupdate schnell reagiert.

Update vom 2. Dezember 2017:

Die meisten Nutzer, die das Sicherheitsupdate 2017-001 vom Donnerstag installiert haben, dürften jetzt aufatmen, die Root-Lücke ist geschlossen. Doch es gibt ein Szenario, wobei der Zugang mit leerem Root-Passwort selbst nach dem Sicherheitsupdate möglich ist. Dies berichtet heute " Wired " mit Berufung auf Volker Chartier von Innology, der offenbar die Root-Lücke wieder entdeckt hat. Demnach haben sich diejenigen Nutzer, die das Sicherheitsupdate 2017-001 unter macOS High Sierra 10.13.0 installiert und danach auf die nächste verfügbare Version macOS High Sierra 10.13.1 aktualisiert haben, ein angreifbares System geholt.

Dies alleine wäre an sich kein Problem: Wem schon das Sicherheitsupdate unter der vorherigen Version untergekommen ist, sollte sich bewusst sein, dass auch der Nachfolger macOS 10.13.1 von dem Bug betroffen ist. Allerdings ist die Lücke deutlich später bekannt geworden als macOS 10.13.1 veröffentlicht wurde. Dazu schiebt Apple das Sicherheitsupdate automatisch auf die betroffenen Rechner.

Hier bleibt aber der Haken – die Lücke wird erst dann geschlossen, wenn sowohl macOS 10.13.1 und das Sicherheitsupdaten installiert sind und der Mac neu startet. Ohne den Neustart bleibt der Mac angreifbar. Dies hat gegenüber "Wired" Thomas Reed von Malwarebytes bestätigt. Es ist doch bedenklich, dass die Behebung des Fehlers erst nach dem Herunterfahren und Neustart des Rechners wieder greift. Das automatische Sicherheitsupdaten weist auf diesen Umstand nicht hin und viele Macbook-Nutzer verwenden ihre Rechner gar Monate lang ohne Herunterfahren, indem sie ihn einfach zu- und wieder aufklappen.

Update vom 30. November 2017:

Fehler bei der Entwicklung können vorkommen, der mit dem Root-Login in High Sierra ist aber mehr als peinlich, da er von hoher Sicherheitsrelevanz ist. Immerhin hat Apple flott reagiert, nach Veröffentlichung des Updates kündigt der Mac-Hersteller aber gegenüber der Nachrichtenagentur Reuters noch interne Konsequenzen an. Konkret werde man den Entwicklungs- und Veröffentlichungsprozess  auf den Prüfstand stellen, um derartige Fehler für die Zukunft ausschließen zu können. "Wir bedauern diesen Fehler zutiefst und bitten alle Mac-Anwender um Verzeihung," heißt es in einer Stellungnahme, "Unsere Kunden haben Besseres verdient. Wir überprüfen nun unseren Entwicklungsprozess, um so etwas in Zukunft zu verhindern."

Update II: Laut des Experten John Gruber (Daring Fireball) bringt das Sicherheitsupdate aber noch etwas durcheinander, denn nach dessen Installation sei das File Sharing des Systems defekt. Besser sei es aber, die Lücke nicht zu lange offen zu lassen, meint Gruber lapidar und an diesem erneuten Fehler sehe man ja, dass Sicherheitsupdates normalerweise nicht innerhalb eines Tages veröffentlicht werden. Immerhin gibt es einen Workaround, hat man nach dem Update kein Filesharing mehr. Man gehe in das Terminal und tippe:

sudo /usr/libexec/configureLocalKDC

Nach Eingabe des Adminpasswortes und Betätigen der Entertaste sei wieder alles in Ordnung.

Update: Das ist ja schnell gegangen, aber bis macOS 10.13.2 konnte es auch nicht warten. Apple hat auf die Root-Lücke reagiert und am Abend des 29.11. (MEZ) das Security Update 2017-001 veröffentlicht . Nutzer von macOS High Sierra sollten das Update tunlichst installieren, Anwender von macOS Sierra 10.12.6 und älteren Versionen waren ohnehin nicht betroffen, wie Apple in den Release-Notes schreibt. Ein Logikfehler in den Validierungen der Credentials sei die Ursache gewesen, die Apple mit dem Sicherheitsupdate nun beseitigt hat. In der Beta  von macOS 10.13.2 war der Fehler offenbar auch vorhanden, in der finalen Version sollte er nicht mehr auftreten.

Ursprüngliche Meldung: Wer unter den Systemeinstellungen das Schloss anklickt um Änderungen vorzunehmen, kann den Benutzernamen „root“ und ein leeres Passwort eingeben. Nach zwei- bis dreimaligen Probieren akzeptiert macOS das Passwort und gibt Ihnen volle Admin Rechte. Anschließend können Angreifer Nutzerkonten löschen oder sich selbst mehr Rechte verschaffen.

Unüblicher Weg der Publikation

Dieser Bug wird auch als 0day beschrieben. Eine Lücke also, die bislang noch nicht bekannt war. Üblich ist es hier den Fehler an Apple zu senden und sogar dafür monetär belohnt zu werden. Der Software Entwickler Lemi Orhan Ergin hat die Lücke aber öffentlich direkt nach dem Finden auf Twitter publiziert. Anscheinend ist Ergin aber nicht der Erste, der die Schwachstelle bemerkt hat: Vor zwei Wochen gab es bereits einen Eintrag in Apples Developer-Foren , der genau diese Verhaltensweise beschrieben hat. Vor einer Woche hat ein anderer Nutzer auf Twitter ein Video mit dem dokumentierten Root-Verlauf veröffentlicht.

Ein Grund hierbei dürfte entweder die Unerfahrenheit vom Finder sein, oder er wollte sich durch das Finden der Lücke etwas Ruhm und mehr Twitter-Folger verschaffen. Andere Experten begrüßen aber teilweise den Schritt, denn Apple ist in letzter Zeit häufiger durch solche Leichtsinnigkeiten aufgefallen.

Auch Fernzugriff möglich – Gefahr über Firmennetzwerk

Wie Patrick Warde über Twitter berichtete , ist über den Root-Fehler auch der entfernte  Zugriff auf einen Mac möglich. Betroffen ist offenbar neben VNC und ARD auch der Zugriff per Bildschirmfreigabe. Während der Zugriff per VNC und ARD sogar Angriffe aus dem Netz erlaubt, ist der Zugriff per Bildschirmfreigabe auf das eigene Netzwerk beschränkt. Besonders einfach ist der Zugriff per Bildschirmfreigabe möglich:

Ist auf einem Rechner unter der Systemeinstellung „Freigaben“ die Bildschirmfreigabe aktiv und befindet man sich im gleichen Netz, ist ein kompletter Zugriff auf die Daten möglich. Man klickt dazu im Finder auf den gewünschten Mac, gibt im Anmeldedialog „root“ ein und bestätigt mit der Zeilenschaltung. Nach einem oder mehreren Versuchen wird man als Administrator mit diesem Mac verbunden und hat kompletten Zugriff auf alle Dateien des entfernten Macs – unter anderem könnte man etwa den Dokumente-Ordner kopieren. In unserem Test funktionierte‚ diese Angriffsmethode problemlos, anscheinend funktioniert sie aber nicht bei Rechnern mit Filevault. Dateifreigabe ist offenbar nicht betroffen (sw).

Admin-Zugriff auf den Mac per Bildschirmfreigabe
Vergrößern Admin-Zugriff auf den Mac per Bildschirmfreigabe

Nicht das erste Mal

Im Oktober diesen Jahres konnte man das Passwort einer verschlüsselten FileVault Festplatte im Klartext betrachten . Die Lücke hat Apple schnell via einem kleineren Update behoben. Im September zuvor ist es Sicherheitsspezialisten gelungen Klartextpasswörter aus dem Schlüsselbund einzusehen.

Erst im letzten Jahr hat Apple angefangen ein sogenanntes Bug Bounty Programm ins Leben gerufen. Andere Firmen wie Google oder Microsoft nutzen diese öffentliche Art des Finden von Sicherheitslücken schon länger. Ziel ist es ein Preisgeld für Lücken und Bugs zu bezahlen, somit sich eifrige Finder und Tüftler direkt bei Apple belohnen, anstatt die Lücken im Dark Net zu veröffentlichen oder andere Wege der Entschädigung zu finden.

Apples Geheimniskrämerei kommt hier definitiv zu tragen. Denn Sicherheitslücken sind nicht gerade gut fürs Ansehen der Firma. Leider leben wir aber in einer immer komplexeren Welt, in der es schlicht unmöglich ist, Software komplett sicher zu gestalten. Einfache Lücken wie die drei im Artikel genannten sind aber grob fahrlässig und geben kein gutes Bild über Apple ab.
Wie Sie sich schützen

Es wird wohl mindestens eine Woche dauern bis eine Aktualisierung im App Store verfügbar ist. Bis dahin ist es zu raten den eigenen Mac immer zu sperren, wenn Sie sich nicht gerade am Arbeitsplatz aufhalten. Auch ist es nicht ratsam mit den Admin-Rechten herumzuspielen und sich am Arbeitsplatz mehr Rechte verschaffen als notwendig. Angreifer könnten dies ausnutzen.

Benachrichtigen Sie also Ihr Sicherheitsteam am Arbeitsplatz oder informieren Sie Freunde, Kollegen und Bekannte über die Schwachstelle. Anschließend heißt es abwarten und hoffen, dass Apple schnell reagiert. Mittlerweile hat das Unternehmen ein schnelles Update versprochen. So setzen Sie ein Root-Passwort , das die Angriffe von Fremden verhindern soll.

Root-Passwort ändern:

1. In Spotlight nach "Verzeichnisdienste" suchen

2. Auf das Schloss unten klicken um die Einstellung zu ändern

3. In der Menüleiste "Bearbeiten" wählen, "Root-Benutzer aktivieren" anklicken

4. Neues Passwort wählen und bestätigen.

So ändern Sie ein Root-Passwort.
Vergrößern So ändern Sie ein Root-Passwort.
0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2314934