macOS High Sierra 10.13.1 reaktiviert Root-Lücke

Nur wenige Tage nach der Veröffentlichung eines Sicherheitspatches, der die schwere Lücke auf Macs mit macOS High Sierra beseitigte, reaktiviert ein Update des Betriebssystems auf Version 10.13.1 die Schwachstelle erneut. Nach dem Update ist es wieder möglich sich mit dem Administratorkonto „root“ ohne Eingabe eines Passworts auf dem Mac anzumelden. Das funktioniert auch aus der Ferne, wenn die Bildschirmfreigabe aktiviert ist. Mit der Root-Anmeldung hat man volle Kontrolle über das System.

Erst nach einem Neustart des Macs wird der Patch wieder angezeigt. Nutzer sollten also nach Einspielen des Updates 10.13.1 einen Neustart durchführen und im App Store das Sicherheits-Update 2017-001 erneut einspielen. Sollte das Update nicht angezeigt werden, kann die Schwachstelle dadurch beseitigen, indem man ein Passwort für das Root-Konto setzt. Dafür muss im Terminal der Befehl „sudo passwd –u root“ eingegeben werden.

[Meldung vom 30. November] Passwortlücke: Apple veröffentlicht Update für macOS High Sierra

Apple hat ein Update für macOS High Sierra veröffentlicht, das die gestern bekanntgewordene peinliche Passwortlücke stopft. Macs mit dem neuesten Apple-Betriebssystem macOS High Sierra 10.13.1 konnten mit der Eingabe des Benutzernamens „root“ ohne Eingabe eines Passworts entsperrt werden. Der Grund für den Fehler lag an einem „logischen Fehler bei der Validierung von Nutzerkonten“. Mit dem Update wird dieses Fehlverhalten des Betriebssystems korrigiert. Apple empfiehlt die Aktualisierung sobald wie möglich zu installieren.

„Als unsere Sicherheitsingenieure am Dienstagnachmittag auf das Problem aufmerksam wurden, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, steht das Update zum Download bereit, und ab heute wird es automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra läuft. Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Benutzern, sowohl für die Freigabe dieser Sicherheitslücke als auch für die dadurch verursachte Besorgnis. Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies wieder geschieht.“

Offenbar ist die Aktualisierung nicht ganz frei von Nebenwirkungen. Laut AppleInsider kann das Update den Zugriff auf freigegebene Ressourcen im Netzwerk verhindern. Nutzer, die von diesem Fehler betroffen sind, können das Problem folgendermaßen beheben:

• 1. Öffnen Sie die Terminal-Anwendung, die sich im Ordner Programme – Dienstprogramme befindet.
• 2. Geben Sie sudo /usr/libexec/configureLocalKDC ein und drücken Sie die Eingabetaste.
• 3. Geben Sie Ihr Administratorkennwort ein und drücken Sie die Eingabetaste.
• 4. Beenden Sie die Terminalanwendung.

[Meldung vom 29. November] Sicherheitslücke hebelt Passwortschutz von macOS High Sierra aus

Ein türkischer Entwickler namens Lemi Orhan Ergin hat einen Fehler in macOS High Sierra 10.13 entdeckt, der es offenbar erlaubt, dass Root-Konto ohne Eingabe eines Passworts zu aktivieren. Als Folge kann ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac übernehmen. Der Bug soll es Unbefugten aber auch erlauben, einen Mac ohne Eingabe eines Kennworts zu entsperren.

Das Root-Konto lässt sich über die Systemeinstellungen von macOS High Sierra einschalten. Ein Angreifer muss lediglich die Einstellungen für Benutzer und Gruppen öffnen und das „Schloss“ anklicken, um diese zu ändern. Bei der Passwortabfrage für den angemeldeten Nutzer muss anschließend lediglich der Name zu „root“ geändert werden – das Passwortfeld kann indes leer bleiben. Nach mehreren Klicks auf „Schutz aufheben“ sind nicht nur alle Einstellungen für Benutzer und Gruppen zugänglich, auch das Root-Konto ist aktiv und kann für jegliche Änderungen benutzt werden.

Ein Bug in macOS High Sierra 10.13 erlaubt die Aktivierung des Root-Kontos ohne Eingabe eines Passworts (Screenshot: ZDNet.de).

Ein gesperrter Mac fällt dem Bug zum Opfer, falls die Option „anderer Benutzer“ beziehungsweise die Felder zur Eingabe von Benutzername und Kennwort auf dem Sperrbildschirm zur Verfügung stehen. Auch dort muss lediglich der Benutzername „Root“ ohne Kennwort eingegeben werden, um die Sperre aufzuheben – was Nutzer unter anderem in auf Twitter veröffentlichten Videos demonstrieren.

Der Sicherheitsforscher Will Dormann des CERT/CC der Carnegie Mellon University will sogar einen Weg gefunden haben, die Schwachstelle aus der Ferne auszunutzen. Dafür muss die Screen-Sharing-Funktion aktiv sein. Ein Zugriff aus der Ferne soll aber auch über das Apple Remote Management möglich sein – jeweils ohne Kenntnis eines gültigen Passworts. ZDNet.de hat diese Möglichkeit nachvollzogen. Ist die Bildschirmfreigabe aktiviert, kann man sich aus der Ferne mit der User-ID „root“ ohne Eingabe eines Passworts anmelden.

Auch aus der Ferne kann man sich mit der User-ID „root“ ohne Passwort auf einem Mac mit macOS High Sierra anmelden, sofern die Bildschirmfreigabe aktiviert ist (Screenshot: ZDNet.de)

Ein Apple-Sprecher bestätigte den Fehler inzwischen. „Wir arbeiten an einem Software-Update, um das Problem zu beheben“, sagte er. Apple empfiehlt, bis zur Veröffentlichung eines Updates ein Passwort für das Root-Konto zu vergeben, um die Lücke zu schließen. Dafür muss im Terminal der Befehl „sudo passwd –u root“ eingegeben werden.

Laut Tests von ZDNet USA sind macOS High Sierra 10.13.0, 10.13.1 und auch die aktuelle Beta 5 von macOS High Sierra 10.13.2 betroffen. Auf einem virtualisierten Testsystem von ZDNet.de ließ sich nur der erste Teil des Bugs nachvollziehen – das Entsperren ohne Kennwort war erst nach der Aktivierung des Root-Kontos über die Systemeinstellungen möglich.

[UPDATE 11:35 Uhr]

Inzwischen wurde bekannt, dass die Existenz der Sicherheitslücke schon länger bekannt ist. Sie wurde in einem Apple-Entwickler-Forum bereits am 13. November erwähnt. Außerdem lässt sich das Root-Konto nicht nur über die Systemeinstellungen aktivieren, sondern immer dann, wenn ein Login-Fenster mit der Möglichkeit zur Eingabe von Benutzername und Passwort erscheint. Das war im Test mit einem mit macOS High Sierra betriebenen MacBook Air standardmäßig eingestellt. Frühere macOS-Versionen zeigten im Anmeldebildschirm stattdessen aktive Nutzernamen an, ohne eine Möglichkeit „root“ als User-ID einzugeben. Abgesehen davon sind frühere Versionen von der Lücke nicht betroffen, da sich der User „root“ nicht über eine einfache Eingabemaske aktivieren lässt.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.