30Jul
En nyopdaget sårbarhed i macOS High Sierra gør det muligt for alle, der har adgang til din bærbare computer, hurtigt at oprette en rodkonto uden at indtaste et kodeord, omgå de sikkerhedsprotokoller, du har oprettet.
Det er nemt at overdrive sikkerhedsproblemer. Dette er ikke en af disse tider. Dette er virkelig dårligt.
Du kan få adgang til det via Systemindstillinger & gt; Brugere &Grupper> Klik på låsen for at foretage ændringer. Brug derefter "root" uden adgangskode. Og prøv det flere gange. Resultatet er utroligt!pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin( @lemiorhan) 28. november 2017
Hvordan udbyttet virker
Advarsel: gør det ikke på din Mac! Vi viser dig disse trin for at påpege, hvor simpelt denne udnyttelse er, men faktisk følger dem computeren usikker. Do. Ikke. Do. Det her.
Udnyttelsen kan køres på mange måder, men den enkleste måde at se, hvordan den fungerer, er i Systemindstillinger. Attackeren behøver kun at lede til Brugere &Grupper, klik på låsen nederst til venstre, og prøv derefter at logge ind som "root" uden adgangskode.
Første gang du gør dette, forbløffende, oprettes en rodkonto uden adgangskode. Anden gang vil du faktisk logge ind som root. I vores test fungerer dette uanset om den aktuelle bruger er administrator eller ej.
Dette giver angriberen adgang til alle administratorindstillinger i Systemindstillinger. .. men det er kun begyndelsen, fordi du har oprettet en ny systembruger rodbruger uden adgangskode.
Når du har gennemgået ovenstående trin, kan angriberen logge ud og vælge alternativet "Andet", der vises på loginskærmen.
Herfra kan angriberen indtaste "root" som brugernavn og lade feltet med adgangskode være tomt. Efter at have trykket på Enter, bliver de logget ind med fuld system administrator privilegier.
De kan nu få adgang til enhver fil på drevet, selvom den ellers beskyttes af FileVault. De kan ændre brugerens adgangskode, så de kan logge ind og få adgang til ting som e-mail- og browseradgangskoder.
Dette er fuld adgang. Alt du kan forestille dig, en angriber kan gøre, kan de gøre med denne udnyttelse.
Og afhængigt af hvilke delingsfunktioner du har aktiveret, kan det være muligt for dette at ske alt fjernt. Mindst en bruger udløste fjernbetjeningen eksternt ved hjælp af Screen Sharing, for eksempel.
Hvis visse delingstjenester aktiveres på mål - dette angreb ser ud til at virke 💯 remote 🙈💀☠️( login login aktiverer / opretter rodkontoen med blank pw) Åh Apple 🍎😷🤒🤕 pic.twitter.com/lbhzWZLk4v
- patrickwardle( @patrickwardle) 28. november 2017
Hvis du har skærmdeling aktiveret, er det nok en god ide at deaktivere den, men hvem kan sige, hvor mange andre mulige måder der kan udløse dette problem? Twitter-brugere har demonstreret måder at starte dette på via Terminal, hvilket betyder, at SSH også er en potentiel vektor. Der er sandsynligvis ingen ende på måder, som dette kan udløses, medmindre du faktisk selv opretter en rodkonto og låser den ned.
Hvordan virker alt dette egentlig? Mac sikkerhedsforsker Patrick Wardle forklarer alt her med en masse detaljer. Det er ret grumt.
Opdaterer din Mac Kan eller måske ikke løse problemet
Pr. 29. november 2017 er der en patch til rådighed for dette problem.
Men Apple messede selv plasteren. Hvis du kørte 10.13, installerede patchen og derefter opgraderet til 10.13.1, blev problemet genindført. Apple skulle have patched 10.13.1, en opdatering, der kom ud et par uger tidligere, ud over at frigive den generelle patch. Det gjorde de ikke, hvilket betyder, at nogle brugere installerer "opdateringer", der ruller sikkerhedspatchen tilbage, hvilket bringer udnyttelsen tilbage.
Så mens vi stadig anbefaler at opdatere din Mac, skal du nok også følge nedenstående trin for at lukke fejlen selv.
Derudover rapporterer nogle brugere, at lappen bryder lokal fildeling. Ifølge Apple kan du løse problemet ved at åbne Terminal og køre følgende kommando:
sudo /usr/libexec/ configureLocalKDC
Fildeling skal fungere efter dette. Dette er frustrerende, men bugs som dette er prisen at betale for hurtige patches.
Beskyt dig selv ved at aktivere rod med et kodeord
Selvom en patch er blevet frigivet, kan nogle brugere stadig opleve fejlen. Der er dog en manuel løsning, der vil ordne det: Du skal blot aktivere root-kontoen med et kodeord.
For at gøre dette skal du gå til Systemindstillinger & gt;Brugere &Grupper, og klik derefter på "Indstillinger for indstillinger" i venstre panel. Klik derefter på knappen "Tilmeld" ved siden af "Network Account Server" og et nyt panel vil dukke op.
Klik på "Open Directory Utility" og et nyt vindue åbnes.
Klik på låseknappen, og indtast derefter dit brugernavn og din adgangskode, når du bliver bedt om det.
Klik nu på Rediger & gt;Aktivér Root User i menulinjen.
Indtast et sikkert kodeord.
Udnyttelsen fungerer ikke længere, fordi dit system allerede har en root-konto aktiveret med en faktisk adgangskode, der er knyttet til den.
Fortsæt med at installere opdateringer
Lad os gøre det klart: Dette var en stor fejl på Apples side, og sikkerhedsrettelsen virker ikke( og ødelægger fildeling) er endnu mere pinligt. Når det er sagt, var udnyttelsen dårligt nok, at Apple måtte flytte hurtigt. Vi mener, at du absolut skal installere den patch, der er tilgængelig for dette problem, og aktivere en rodadgangskode. Forhåbentlig snart vil Apple rette disse problemer med en anden patch.
Opdater din Mac: ignorér ikke disse beskeder. De er der af en grund.