1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Privilege Escalation: MacOS…

Und wo genau ist der Bug?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Und wo genau ist der Bug?

    Autor: Anonymer Nutzer 29.11.17 - 08:36

    " Dem Angriff kann recht einfach vorgebeugt werden: Wer einen Root-Account mit einem Passwort einrichtet, ist von dem Fehler nicht betroffen."

    Ach. Echt? Root ohne PW führt zu Rootlogin ohne PW? Oder habe ich hier irgendetwas falsch verstanden? Die Relevanz der Meldung geht irgendwie an mir vorbei und einen Bug sehe ich da nicht.

  2. Re: Und wo genau ist der Bug?

    Autor: Sh3rlock 29.11.17 - 08:38

    Das Problem ist, dass der Root Account versteckt automatisch angelegt wird und darauf zugegriffen werden kann

    Das war früher nicht so

  3. Re: Und wo genau ist der Bug?

    Autor: Anonymer Nutzer 29.11.17 - 08:41

    Sprich bei Auslieferung/Ersteinrichtung von MacOS ist root per Default immer vorhanden, ok das ist logisch, und es wird nicht verlangt, ein PW festzulegen, weswegen es einen passwortlosen Root gibt auf den dann die übrigen Nutzer eskalieren können?

    Gut. Das ist in der Tat relativ doof.

  4. Re: Und wo genau ist der Bug?

    Autor: chewbacca0815 29.11.17 - 08:52

    Sh3rlock schrieb:
    --------------------------------------------------------------------------------
    > Das Problem ist, dass der Root Account versteckt automatisch angelegt wird und darauf zugegriffen werden kann

    Ich selber hab mit Mac nix am Hut, deshlab mal kurz gegoogelt. Apple sagt etwas anderes, der root sei default deaktiviert und müsse erst einmal aktiviert werden:
    https://support.apple.com/de-de/HT204012

    Kann das jemand bestätigen, dass root per default deaktiviert ist? Falls ja, dann ist diese angebliche Lücken wieder mal nur heiße Luft.

  5. Re: Und wo genau ist der Bug?

    Autor: sundilsan 29.11.17 - 08:59

    chewbacca0815 schrieb:
    --------------------------------------------------------------------------------
    > Kann das jemand bestätigen, dass root per default deaktiviert ist? Falls
    > ja, dann ist diese angebliche Lücken wieder mal nur heiße Luft.

    Du hast den Artikel nicht verstanden. Der Bug ist nicht, dass Root aktiviert ist, sondern dass man kein Passwort braucht, wenn es aktiviert ist. Ein dicker Unterschied.

  6. Re: Und wo genau ist der Bug?

    Autor: dxp 29.11.17 - 09:02

    Soweit ich weiß, wird kein leeres Passwort verwendet, sondern kein root Passwort gesetzt. Dies führt dazu, dass man sich nicht als root einloggen kann. Falls sudo auf dem System aktiv ist, kann man jedoch als root agieren, bzw. in den root user wechseln (sudo -i).

  7. Re: Und wo genau ist der Bug?

    Autor: chewbacca0815 29.11.17 - 09:07

    sundilsan schrieb:
    --------------------------------------------------------------------------------
    > Du hast den Artikel nicht verstanden. Der Bug ist nicht, dass Root aktiviert ist, sondern dass man kein Passwort braucht, wenn es aktiviert ist. Ein dicker Unterschied.

    Lies mal den Text aus dem Support-Link genau durch:
    Wählen Sie "Bearbeiten" > "root-Benutzer aktivieren", und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.

    Wenn man root erst aktivieren muss, dann kommt wohl zwangsläufig auch die Frage nach dem Passwort für root. Wenn man an dieser Stelle KEIN Passwort vergibt, ist der ganze Hype für die Tonne weil selbstverschuldeter Folgefehler. Wundern täte es mich nicht, wenn das ein Hoax wäre.

  8. Re: Und wo genau ist der Bug?

    Autor: miauwww 29.11.17 - 09:13

    > Wenn man root erst aktivieren muss, dann kommt wohl zwangsläufig auch die
    > Frage nach dem Passwort für root. Wenn man an dieser Stelle KEIN Passwort
    > vergibt, ist der ganze Hype für die Tonne weil selbstverschuldeter
    > Folgefehler. Wundern täte es mich nicht, wenn das ein Hoax wäre.

    "weil selbstverschuldeter Folgefehler"? Du solltest Dich bei Apple bewerben, für diese lustige These.

  9. Re: Und wo genau ist der Bug?

    Autor: chewbacca0815 29.11.17 - 09:30

    miauwww schrieb:
    --------------------------------------------------------------------------------
    > "weil selbstverschuldeter Folgefehler"? Du solltest Dich bei Apple bewerben, für diese lustige These.

    Steht das Nichtverwenden eines Passwortes bei einem root account etwa nicht in direktem Zusammenhang mit einem Fehler 40 oder PICNIC? Das Betriebssystem ist also Schuld, wenn der dödelige Tastaturkünstler kein Passwort setzt? Seltsame Sichtweise...

    Und wie schon oben geschrieben, scheint mir das Gnaze hier reichlich aufgebauscht, wenn tatsächlich kein Root-PW gesetzt wurde. Und alleine das gilt es erst einmal zu eruieren, bevor hier wieder mit Dreck auf andere geworfen wird.



    1 mal bearbeitet, zuletzt am 29.11.17 09:31 durch chewbacca0815.

  10. Re: Und wo genau ist der Bug?

    Autor: der_wahre_hannes 29.11.17 - 09:35

    chewbacca0815 schrieb:
    --------------------------------------------------------------------------------
    > Steht das Nichtverwenden eines Passwortes bei einem root account etwa nicht
    > in direktem Zusammenhang mit einem Fehler 40 oder PICNIC? Das
    > Betriebssystem ist also Schuld, wenn der dödelige Tastaturkünstler kein
    > Passwort setzt?

    Ja, wenn das OS sowas zulässt, dann ist es eine Schwachstelle des OS. Oder war WinXP etwa nicht Schuld, weil es jeden erstmal als Admin anlegt und als Passwort auch einfach ein leeres Passwort reichte?

    > Und wie schon oben geschrieben, scheint mir das Gnaze hier reichlich
    > aufgebauscht

    Es ist möglich, sich durch eine Schwachstelle root-Zugriff zu verschaffen -> "Das ganze ist doch aufgebauscht!!!!11"

    Fanboys...

  11. Re: Und wo genau ist der Bug?

    Autor: chewbacca0815 29.11.17 - 09:40

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > Es ist möglich, sich durch eine Schwachstelle root-Zugriff zu verschaffen
    > -> "Das ganze ist doch aufgebauscht!!!!11"
    >
    > Fanboys...

    Lies mal das Update: Apple empfiehlt als vorläufige Fehlerbehebung ebenfalls, einen Root-Account mit Passwort zu versehen

    Wie vermutet, root account ohne Passwort == PICNIC

    Was kann das OS dafür, wenn der User zu dumm ist, es bedienen zu können?

  12. Re: Und wo genau ist der Bug?

    Autor: lear 29.11.17 - 09:43

    Es liest sich (auch bei heise) eher so, daß das System das Aktivierungs-bit ignoriert und Dich in den deaktivierten Account einlogged.
    Und zumindest BSD und Linux (die anderen verbliebenen POSIX Systeme) akzeptieren kein leeres Passwort, schon gar nicht für den root account. Ob das auf OSX geht, müßte mal einer testen ....

  13. Re: Und wo genau ist der Bug?

    Autor: chewbacca0815 29.11.17 - 09:46

    lear schrieb:
    --------------------------------------------------------------------------------
    > Es liest sich (auch bei heise) eher so, daß das System das Aktivierungs-bit
    > ignoriert und Dich in den deaktivierten Account einlogged.
    > Und zumindest BSD und Linux (die anderen verbliebenen POSIX Systeme)
    > akzeptieren kein leeres Passwort, schon gar nicht für den root account. Ob
    > das auf OSX geht, müßte mal einer testen ....

    Ich dachte immer, OSX würde auf BSD basieren?

  14. Re: Und wo genau ist der Bug?

    Autor: lear 29.11.17 - 10:11

    Darwin ist ein BSD-Derivat, das heißt aber nicht, daß Apple es nicht kaputtfrickeln kann ;-)
    BSD meint ansonsten heute iA. FreeBSD oder NetBSD (Ableger von BSD/386)

    Edit: um das noch etwas auszuführen: natürlich kriegst Du auch unter BSD oder Linux die Passwörter weg (leer) indem Du zB. /etc/{shadow,master.passwd} direkt editierst, aber die "regulären" tools (passwd) fangen sowas vernünftigerweise ab.
    Ich kann mir auch nicht vorstellen, daß Apple ein leeres root Passwort zuließe (weil es sich eben ausgerechnet an Unbedarfte richtet, die die Auswirkungen nicht verstehen würden) und tippe daher auf versehentlichen login eines deaktivierten (root) accounts.

    Edit2: typo



    2 mal bearbeitet, zuletzt am 29.11.17 10:27 durch lear.

  15. Re: Und wo genau ist der Bug?

    Autor: happymeal 29.11.17 - 10:24

    ckerazor schrieb:
    --------------------------------------------------------------------------------
    > Ach. Echt? Root ohne PW führt zu Rootlogin ohne PW? Oder habe ich hier
    > irgendetwas falsch verstanden? Die Relevanz der Meldung geht irgendwie an
    > mir vorbei und einen Bug sehe ich da nicht.

    Root ist im Auslieferungszustand inaktiv und sollte kein login, egal ob mit oder ohne Passwort, akzeptieren.

  16. Re: Und wo genau ist der Bug?

    Autor: ImpCaligula 29.11.17 - 10:50

    Aufgebauscht?

    Ich habe hier einige High Sierra Macs stehen. Bei der frischen Installation von High Sierra bzw. Auslieferung durch Apple bereits mit High Sierra hast Du Deinen eigenen Account und den Gastaccount.

    Entweder ich logge mich mit meinem Nutzer ein. Oder eben über den Gastaccount. Der Gastaccount ist bei jeder High Sierra Installation per Standard vorhanden! Es ist nun egal ob ich mit meinem Account oder per Gastaccount mich ein logge - ich kann zum Beispiel in der Systemsteuerung mich als root ohne Passwort anmelden.

    Natürlich geht dies nicht, wenn jemand mal den Gastaccount deaktiviert hat. Oder das root Passwort irgendwann mal vorher gesetzt wurde.

    Aber generell - bekommt jemand einen Mac mit High Sierra ausgeliefert - oder installiert sich High Sierra frisch - kann man sich per root ohne Passwort anmelden! Entweder angemeldet mit dem eigenen Account oder als Gastnutzer.

    Szenario. Ich melde mich an meinem Mac ab. Verlasse den Raum. Fremde Person setzt sich an den Mac, meldet sich als Gastnutzer an, geht in die Systemsteuerung und aktiviert den root ohne Passwort.

    Geht einwandfrei.
    Getestet an allen meinen High Sierra Macs.

    Sorry. Wenn das aufgebauscht ist....
    Aber man kann die "Fan Brille" noch weiter ins Gesicht ziehen.

    ----
    PS: Der root Workaround scheint nicht alleine zu helfen:
    https://twitter.com/unsynchronized/status/935656609140711426

  17. Re: Und wo genau ist der Bug?

    Autor: chewbacca0815 29.11.17 - 10:58

    Nachtrag

    Im anderen Thread "Hab' das jetzt eine halbe..." steht

    Autor: freshcuruba 29.11.17 - 10:14

    wenn ihr HighSierra installiert habt und euer root account eigentlich deaktiviert ist (dabei hat er auf gar keinen MacOS ein Passwort) dann reaktiviert dieser sich ohne Passwort sobald man root als username benutzt und den Curser in das Leere Passwort Feld setzt.


    Wenn dem tatsächlich so ist, dann ist das tatsächlich übel und kein PICNIC.



    1 mal bearbeitet, zuletzt am 29.11.17 10:59 durch chewbacca0815.

  18. Re: Und wo genau ist der Bug?

    Autor: der_wahre_hannes 29.11.17 - 11:36

    chewbacca0815 schrieb:
    --------------------------------------------------------------------------------
    > Was kann das OS dafür, wenn der User zu dumm ist, es bedienen zu können?

    Alles. Wenn der Entwickler kein DAU ist, dann sollte er wissen, dass der User ein DAU ist und alles, was man machen kann auch machen wird. Wenn ich als Entwickler also ein Produkt rausbringe, bei dem man root nicht mit Passwort versehen muss, dann ist es MEINE Schuld, wenn User tatsächlich root ohne Passwort versehen. Punkt aus fertig.

  19. Re: Und wo genau ist der Bug?

    Autor: Potrimpo 29.11.17 - 11:39

    Ja, Du hast etwas falsch verstanden.

    Ein Gast-/User-Konto mit eingeschränkten Rechten kann das standardmäßig angelegte - und für Gast/User nicht erreichbare - Root-Konto aktivieren.

    Ist an sich wie bei Windows, bei dem, neben Admin- und Gast-/Benutzer-Konten, zusätzlich ein nicht sichtbares Administrator-Konto angelegt ist. Dies lässt sich von Konten mit administrativen Rechten ohne Passwort aktivieren "net user administrator * /active:yes", ein einfacher User/Gast kann das allerdings nicht - im Gegensatz zu High Sierra, bei dem das auch vom User/Gast ohne administrativen Rechte möglich ist.



    1 mal bearbeitet, zuletzt am 29.11.17 11:40 durch Potrimpo.

  20. Re: Und wo genau ist der Bug?

    Autor: chewbacca0815 29.11.17 - 11:52

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > Punkt aus fertig.

    Is ja gut jetzt, mittlerweilen sind mehr Hintergrundinformationen vorhanden, worum es tatsächlich geht.

    Wäre schön gewesen, wenn das im Artikel gleich so enthalten gewesen wäre, dass das deaktivierte root account durch die beschriebene Vorgehensweise hintenrum ohne Passwort aktiviert wird. Eine Zeile mehr Text im Artikel und jeder hätte es verstanden ...

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Information Security Officer (m/w/d) Planung, Steuerung von Cyber Security-Aktivitäten
    Hannover Rück SE, Hannover
  2. Business Analyst / Buchhalter mit IT-Affinität (m/w/d)
    Allianz Lebensversicherungs-AG, München, Stuttgart
  3. Information Security Experts (m/w/d)
    Allianz ONE - Business Solutions GmbH, Unterföhring, Stuttgart
  4. Automotive Test Lab Engineer - Connected Infotainment (m/w/d)
    operational services GmbH & Co. KG, Ingolstadt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Team Group DDR4/DDR5-RAM u. SSD)
  2. (u. a. Computer, TV, Handys, PC- und Videospiele)
  3. (u. a. PowerColor RX 6950 XT für 899€, XFX RX 6900 XT für 799€, MSI 3060 Ti für 519€)
  4. (u. a. Ryzen 9 7950X für 849€, Ryzen 9 7900X für 669€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmierung: APIs und Full-Stack-Anwendungen mit CAP von SAP erstellen
Programmierung
APIs und Full-Stack-Anwendungen mit CAP von SAP erstellen

Mit dem Cloud Application Programming Model lassen sich http-basierte APIs samt dynamischen Oberflächen so schnell wie nie in der SAP-Welt entwickeln.
Eine Anleitung von Volker Buzek

  1. DSAG SAP-Preiserhöhung sendet "fatale Signale aus"
  2. SAP erhöht erneut Preise Wartung von SAP-Software wird teurer
  3. SAP-Berater Von Bullen und Bären

Hobbys und maschinenbasiertes Lernen: 1.000 Bilder - und nur zwei Vögel drauf
Hobbys und maschinenbasiertes Lernen
1.000 Bilder - und nur zwei Vögel drauf

Ein Hobby-Vogelkundler fragt mich nach einem Skript, um Vögel in Bildern zu erkennen. Was einfach klingt, bringt mich an den Rand dessen, was ich über maschinelles Lernen weiß.
Von Marcus Toth


    Datenschutz: GPS-Ortung in Firmenwagen meist unzulässig
    Datenschutz
    GPS-Ortung in Firmenwagen meist unzulässig

    Manche Firmen statten ihre Dienstwagen mit GPS-Sendern aus, einige machen das sogar mit Diensthandys. Solcherlei Überwachung ist meist nicht rechtens.
    Von Harald Büring

    1. Microsoft Office-Pakete datenschutzkonform nutzen
    2. Schweiz Alles andere als ein Datenschutzparadies
    3. Alternativen zu Google Analytics Tools für Reichweitenanalyse datenschutzkonform nutzen