Een nieuw ontdekte kwetsbaarheid in macOS High Sierra stelt iedereen met toegang tot uw laptop in staat om snel een root-account aan te maken zonder een wachtwoord in te voeren, waarbij alle door u ingestelde beveiligingsprotocollen worden omzeild.
Het is gemakkelijk om beveiligingsproblemen te overdrijven. Dit is niet een van die keren. Dit is echt slecht.
U kunt het openen via Systeemvoorkeuren> Gebruikers en groepen> Klik op het slotje om wijzigingen aan te brengen. Gebruik dan “root” zonder wachtwoord. En probeer het meerdere keren. Het resultaat is ongelooflijk! pic.twitter.com/m11qrEvECs
– Lemi Orhan Ergin (@lemiorhan) 28 november 2017
Hoe de exploitatie werkt
Waarschuwing: doe dit niet op je Mac! We laten u deze stappen zien om aan te geven hoe eenvoudig deze exploit is, maar als u ze daadwerkelijk volgt, wordt uw computer onveilig. Doen. Niet. Doen. Dit.
De exploit kan op veel manieren worden uitgevoerd, maar de eenvoudigste manier om te zien hoe het werkt, is in Systeemvoorkeuren. De aanvaller hoeft alleen maar naar Gebruikers en groepen te gaan, op het slotje linksonder te klikken en vervolgens te proberen in te loggen als “root” zonder wachtwoord.
De eerste keer dat u dit doet, wordt verbazingwekkend genoeg een root-account zonder wachtwoord aangemaakt. De tweede keer dat u zich daadwerkelijk aanmeldt als root. In onze tests werkt dit ongeacht of de huidige gebruiker een beheerder is of niet.
Dit geeft de aanvaller toegang tot alle beheerdersvoorkeuren in Systeemvoorkeuren … maar dat is nog maar het begin, want je hebt een nieuwe, systeembrede rootgebruiker gemaakt zonder wachtwoord.
Nadat de aanvaller de bovenstaande stappen heeft doorlopen, kan hij uitloggen en de optie “Overig” kiezen die op het inlogscherm verschijnt.
Van daaruit kan de aanvaller “root” als gebruikersnaam invoeren en het wachtwoordveld leeg laten. Nadat ze op Enter hebben gedrukt, worden ze aangemeld met volledige systeembeheerdersrechten.
Ze hebben nu toegang tot elk bestand op de schijf, zelfs als het anderszins wordt beschermd door FileVault. Ze kunnen het wachtwoord van elke gebruiker wijzigen, zodat ze kunnen inloggen en toegang krijgen tot zaken als e-mail- en browserwachtwoorden.
Dit is volledige toegang. Alles wat een aanvaller kan bedenken, kunnen ze doen met deze exploit.
En afhankelijk van de functies voor delen die u hebt ingeschakeld, kan het mogelijk zijn dat dit allemaal op afstand gebeurt. Ten minste één gebruiker heeft de exploit op afstand geactiveerd met behulp van bijvoorbeeld Screen Sharing.
Als bepaalde services voor delen op het doel zijn ingeschakeld, lijkt deze aanval te werken 💯 op afstand 🙈💀☠️ (de inlogpoging maakt / maakt het root-account aan met blanco pw) Oh Apple 🍎😷🤒🤕 pic.twitter.com/lbhzWZLk4v
– patrick wardle (@patrickwardle) 28 november 2017
Als je scherm delen hebt ingeschakeld, is het waarschijnlijk een goed idee om dit uit te schakelen, maar wie kan zeggen op hoeveel andere mogelijke manieren dit probleem kan worden veroorzaakt? Twitter-gebruikers hebben aangetoond manieren om dit te starten met behulp van de Terminal, wat betekent dat SSH ook een potentiële vector is. Er zijn waarschijnlijk geen einde aan manieren waarop dit kan worden geactiveerd, tenzij u zelf een root-account opzet en vergrendelt.
Hoe werkt dit allemaal eigenlijk? Mac-beveiligingsonderzoeker Patrick Wardle legt hier alles gedetailleerd uit. Het is behoorlijk grimmig.
Het probleem kan mogelijk niet worden opgelost door uw Mac bij te werken
Sinds 29 november 2017 is er een patch beschikbaar voor dit probleem.
Maar Apple heeft zelfs de patch verknoeid. Als u 10.13 draaide, de patch installeerde en vervolgens een upgrade naar 10.13.1 uitvoerde, werd het probleem opnieuw geïntroduceerd. Apple had 10.13.1 moeten patchen, een update die een paar weken eerder uitkwam, naast het uitbrengen van de algemene patch. Dat deden ze niet, wat betekent dat sommige gebruikers “updates” installeren die de beveiligingspatch ongedaan maken en de exploit terugbrengen.
Dus hoewel we nog steeds aanbevelen uw Mac bij te werken, moet u waarschijnlijk ook de onderstaande stappen volgen om de bug zelf te verhelpen.
Bovendien melden sommige gebruikers dat de patch het lokaal delen van bestanden verbreekt. Volgens Apple kun je het probleem oplossen door de Terminal te openen en het volgende commando uit te voeren:
sudo /usr/libexec/configureLocalKDC
Het delen van bestanden zou hierna moeten werken. Dit is frustrerend, maar dit soort bugs zijn de prijs die moet worden betaald voor snelle patches.
Bescherm uzelf door root in te schakelen met een wachtwoord
Hoewel er een patch is uitgebracht, kunnen sommige gebruikers de bug nog steeds ervaren. Er is echter een handmatige oplossing om het probleem op te lossen: u hoeft alleen het root-account in te schakelen met een wachtwoord.
Ga hiervoor naar Systeemvoorkeuren> Gebruikers en groepen en klik vervolgens op het item “Aanmeldingsopties” in het linkerdeelvenster. Klik vervolgens op de knop “Deelnemen” naast “Netwerkaccountserver” en een nieuw paneel zal verschijnen.
Klik op “Open Directory Utility” en een nieuw venster wordt geopend.
Klik op de vergrendelingsknop en voer uw gebruikersnaam en wachtwoord in wanneer daarom wordt gevraagd.
Klik nu op Bewerken> Rootgebruiker inschakelen in de menubalk.
Voer een veilig wachtwoord in.
De exploit zal niet langer werken, omdat uw systeem al een root-account heeft ingeschakeld met een echt wachtwoord eraan.
Blijf updates installeren
Laten we dit duidelijk maken: dit was een grote fout van Apple, en de beveiligingspatch die niet werkt (en het delen van bestanden verbreekt) is zelfs nog gênanter. Dat gezegd hebbende, de exploit was erg genoeg dat Apple snel moest handelen. We denken dat je absoluut de patch moet installeren die beschikbaar is voor dit probleem en een root-wachtwoord moet inschakelen. Hopelijk lost Apple deze problemen binnenkort op met een nieuwe patch.
Werk uw Mac bij: negeer deze prompts niet. Ze zijn er met een reden.
