Macs lokaal en remote rootbaar zonder wachtwoord
De nieuwste versie van macOS (voorheen Mac OS X) blijkt een groot beveiligingsgat te bevatten. Het root-account, dat meer rechten heeft dan het machtige admin-account, is namelijk ingeschakeld op High Sierra (macOS 10.13). Erger nog is dat dit account openstaat: inloggen kan zonder wachtwoord in te voeren.
© Apple
Apple
Deze grote kwetsbaarheid is ontdekt én gelijk geopenbaard door een Turkse softwaredeveloper. Lemi Orhan Ergin heeft Apple in een tweet geïnformeerd dat macOS High Sierra een “gigantische security issue” heeft. “Iedereen kan inloggen als root met een leeg wachtwoord na meerdere keren klikken op de login-knop.”
Ook remote misbruikbaar
De ontdekker is na zijn bekendmaking zowel gecomplimenteerd als ook bekritiseerd. Enerzijds heeft hij namelijk Mac-gebruikers en -beheerders bewust gemaakt van dit grote gat, en ook Apple aangespoord tot actie. Anderzijds heeft hij de Mac-maker schijnbaar niet de gelegenheid gegeven om het wachtwoordloze root-account stilletjes te fixen om grootschalig misbruik te voorkomen.
Aanvankelijk leek Ergins ontdekking alleen te benutten door iemand met lokale, fysieke toegang tot een Mac. Veel securityproblemen hebben dan al een exponentieel grotere impact. Maar het gat is niet beperkt tot lokaal misbruik. De bekende Amerikaanse security-onderzoeker en -journalist Brian Krebs meldt dat het openstaande root-account onder bepaalde omstandigheden ook remote toegankelijk is.
Dit is het geval wanneer op een Mac de ingebouwde functie Schermdeling is ingeschakeld. Ook Apple’s Remote Management-functie is vatbaar voor het geopenbaarde root-gat, wanneer de mogelijkheid voor Beheer (Control) is ingeschakeld. Verder geeft remote-toegang software VNC eveneens toegang via dit root-gat, en melden sommige technische gebruikers dat het ook misbruikbaar zou zijn via SSH.
Nú root-wachtwoord instellen
Gebruikers en beheerders kunnen hun Macs met High Sierra beschermen door die functie voor hulp-op-afstand uit te schakelen. Dit is niet altijd mogelijk of handig, aangezien helpdesks en systeembeheer deze Mac-mogelijkheid voor legitieme doeleinden nodig kunnen hebben. Bovendien blijft lokaal inloggen als root dan mogelijk.
De betere en broodnodige bescherming is het instellen van een wachtwoord voor het root-account. Deze oplossing komt nog vóór het het uitschakelen van dat diepgaande gebruikersaccount, want de kwetsbaarheid in High Sierra blijkt hardnekkig. Na uitschakeling van het root-account wordt het namelijk automatisch weer ingeschakeld bij herhaalde inlogpogingen. Een wachtwoordloos root-account blijft daarmee dus aanwezig en actief.
De root-toegang is aanwezig op zowel geüpgrade Macs als ook computers met een verse installatie van High Sierra. De vorige macOS-versie (Sierra) bevat de bug van het wachtwoordloze root-account niet, melden diverse Mac-gebruikers en security-onderzoekers in reactie op dit grote gat.
Apple onderzoekt
Apple werkt aan een fix en verwijst gebruikers naar supportpagina’s om een root-wachtwoord in te stellen. Apple’s supportteam op Twitter heeft in reactie op Ergins meldingstweet hem verzocht om in een privébericht (DM) meer details te geven. Het bedrijf vraagt naar zijn Mac-model en de macOS-versie die daarop draait.
De huidige exacte versie van High Sierra is 10.13.1, die op 31 oktober publiekelijk is verschenen. Gisteren heeft Apple de vijfde bèta van 10.13.2 uitgebracht. De vermoedelijke planning is om die nieuwe versie in december uit te brengen. Het is nog niet duidelijk of daarin dan het wijd openstaande root-account wordt dichtgezet. Default is root niet geactiveerd op Macs.
MEER AG CONNECT?
Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee