Apple-advies heropent root-gat macOS
Het officiële advies van Apple om het openstaande root-account in macOS High Sierra af te dekken, gaat net een stap te ver. De workaround van de Mac-maker is het instellen van een eigen wachtwoord voor root-toegang, om dat diepgaande account vervolgens uit te schakelen. Alleen keert root dan terug met blanco wachtwoord.
© Apple
Apple
De bug in de nieuwste versie van macOS (10.13) creëert een root-account, en voorziet dat van een leeg wachtwoord. Inloggen met de gebruikersnaam ‘root’ en niets als wachtwoord geeft dan volledige en diepgaande toegang tot Macs die High Sierra draaien. Dit kan lokaal maar onder bepaalde omstandigheden ook op afstand. Root gaat dieper dan admin, maar is normaliter niet ingeschakeld.
macOS aantasten
“Het gebruiksaccount genaamd ‘root’ is een superuser met lees- en schrijfrechten in meer gebieden van het systeem, inclusief bestanden in andere macOS-gebruikersaccounts”, legt Apple uit in zijn supportdocument. “Het root-gebruikersaccount is niet bedoeld voor routinegebruik. De privileges ervan staan veranderingen toe aan bestanden die nodig is voor je Mac. Om zulke veranderingen ongedaan te maken, moet je mogelijk je systeemsoftware herinstalleren”, waarschuwt Apple.
Het supportdocument over het inschakelen van de root-gebruiker en het veranderen van het wachtwoord daarvoor wordt gebracht als oplossing voor het grote root-gat in High Sierra. Het volgen van deze stappen zorgt er eerst wel voor dat het onverwacht geactiveerde root-account niet langer een blanco wachtwoord heeft. Het netjes afsluiten van de workaround heropent de grote kwetsbaarheid echter.
Uitschakelen = wachtwoordreset
“Vergeet niet om de root-user uit te schakelen na het uitvoeren van je taak”, adviseert Apple. Het gewijzigde wachtwoord voor root wordt daarmee echter ook uitgeschakeld. Bij een nieuwe inlogpoging als root wordt dan het uitgeschakelde ‘god-mode’ account weer geactiveerd, compleet met het blanco wachtwoord.
De correcte workaround is dus het instellen van een eigen wachtwoord voor root, dat als het goed is nog niet actief is. Vervolgens moet het dan wel beveiligde root-account ingeschakeld blijven. Maar natuurlijk niet gebruikt worden voor gewone handelingen, zowel door gebruikers als door beheerders. Daarnaast reikt een Mac-expert als Rich Trouton nog een extra tip aan om root-login de pas af te snijden.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee