Schwere Sicherheitslücke: root ohne Passwort mit macOS High Sierra

Der türkische Developer Lemi Orhan Ergin hat auf Twitter eine schwere Sicherheitslücke veröffentlicht, die die macOS-Version 10.13 alias High Sierra betrifft – inklusive des aktuellen Final Releases 10.13.1 und offenbar auch Betaversionen von 10.13.2. Apple hat es augenscheinlich versäumt, den root-Account korrekt abzusichern beziehungsweise zu deaktivieren, was auch einfachen Nutzern erlaubt, zum Administrator zu werden. Sie müssen nur Zugriff auf einen eingeloggten Account haben.

Um die Lücke auszunutzen, muss man sich in die Systemeinstellungen begeben und einen Dialog auswählen, der Administratorrechte verlangt – etwa jenen, mit dem sich neue Accounts kreieren lassen. Nach dem Klick auf das Schlosssymbol zum Entsperren wird als Username „root“ eingegeben und das Passwortfeld leer gelassen. Nach einmaligem Selektieren des leeren Feldes lässt sich auf „Schutz aufheben“ klicken (gegebenenfalls mehrmals) – und man ist drin. Anschließend agiert man als Root-User und kann sich im System beispielsweise einen neuen Zugang mit allen Rechten anlegen.

Nutzer berichten zudem, dass nach einem Reboot „root“ ohne Passwort auch als System-Login verwendet werden kann, solange es in diesem Dialog möglich ist, einen freien Benutzernamen einzugeben, statt aus einer Liste von Nutzern auszuwählen. Diese Einstellung ist allerdings kein Standard, wurde bislang aber als Sicherheitstipp gehandelt, weil Angreifer in diesem Fall auch den Accountnamen herausfinden müssen und nicht nur das Passwort eines Benutzers.

Kurzfristige Abhilfe gegen die root-Lücke schafft, dem root-Account schlicht ein Passwort zuzuordnen. Dazu muss dieser normalerweise zunächst aktiviert werden. Laut ersten Angaben des Konzerns ist das Sicherheitsteam über das grundsätzliche Problem bereits informiert und werkelt an einem Fix. „Wir arbeiten an einem Software-Update, um den Fehler zu adressieren“, hieß es. Das Unternehmen empfiehlt zusätzlich, zu überprüfen, ob ein eventuell zuvor aktivierter Root-Zugang über ein Passwort verfügt – das scheint ebenfalls nicht immer der Fall zu sein.

2017-11-29T12:29:05+00:00