‘Rootpipe’ beveiligingslek in OS X ontdekt

Door: Raymon Mens - 15 reacties

Onderzoekers hebben tijdens een conferentie in Zweden een nieuw beveiligings­lek in OS X getoond. Het lek is in OS X Yosemite en oudere versies aanwezig, maar wordt nog niet actief misbruikt. Het lek maakt het omzeilen van beveiligingsmechanismen mogelijk.

Via ‘Rootpipe’ kunnen commando’s als root-gebruiker uitgevoerd worden. Dit is een gebruiker die zonder bevestiging of waarschuwing alles op het systeem mag en kan. Een script maakt het voor beheerdersaccount mogelijk om uit de beveiligingsschil van OS X te breken en zonder het ingeven van een wachtwoord ‘root’ te worden.

In een video is de werking van rootpipe te zien:

Er is weinig bekend over de precieze werking van het kwaadaardige script. De broncode is niet openbaar gemaakt. Apple heeft de beveiligingsonderzoekers gevraagd dit niet voor januari van 2015 te doen. Waarschijnlijk wordt voor die tijd een OS X-beveiligingsupdate uitgebracht.

In theorie kan het script dat nodig is om misbruik van het lek te maken, meegeleverd worden bij bijvoorbeeld software die niet uit de App Store komt. Zodra je deze onder een beheerdersaccount opent, kan het lek misbruikt worden. Voor zover bekend kunnen Mac’s niet geïnfecteerd worden door het bezoeken van websites.

Bescherm je Mac, gebruik geen beheerdersaccount
Het zekere voor het onzekere? Check of het account dat je gebruikt beheerdersrechten heeft. Het lek werkt alleen als iemand als beheerder is ingelogd. Beheerdersrechten uitzetten is genoeg. Dit gaat als volgt:

  • Open Systeemvoorkeuren
  • Open Gebruikers en Groepen
  • Kijk of het vinkje bij sta toe dat deze gebruiker de computer beheert uit is

Schermafbeelding 2014-11-05 om 15.29.33
Als er maar één account op de Mac is, moet eerst een tweede account dat ook beheerder is aangemaakt worden. Anders zou geen enkele gebruiker nog beheerdersrechten hebben. Dit levert enig ongemak op, zo moet bij het wijzigen van instellingen of installeren van software het wachtwoord van het beheerdersaccount opgegeven worden. Deze wijziging is later makkelijk ongedaan te maken door het vinkje weer aan te zetten. Dan moet er eerst op het hangslot onderaan geklikt worden en dient het wachtwoord van het tweede account ingegeven te worden.

Reacties

15 reacties
  • Profielfoto
    SunKeeper

    Haha, zijn er straks zeker weer naaktfoto’s van Macs af gestolen en gepubliceerd.:lol:

  • Profielfoto
    botoo

    Begrijp ik nu goed dat er eerst fysiek toegang tot de computer moet zijn? Of kan dit ook op afstand?

  • Profielfoto
    Vilscon

    Interessant artikel, alhoewel.. Was dit probleem niet al eerder bekend? Destijds was het zo dat het wel een vereiste was dat een terminal open stond met admin rechten. Is dat diezelfde bug of is dit weer wat anders?
    Update: Op basis van je onderstaande reactie is het wat nieuws.. Ai.

    Daarnaast, kleine foutjes in het artikel. Nog eventjes nalezen:)

    Verder wel serieuze kritiek:
    1) Vermeld de gevolgen van het gebruiker van een account zonder beheerdersrechten. Ik heb liever een beheerdersaccount dan géén, maar dan geen last van deze lek.
    2) “Mogelijk moet voordat dit uitgeschakeld kan worden eerst een tweede account dat wel beheerder is aangemaakt worden.” – Zoek dat eventjes uit in tegenstelling tot de lezer dat te laten uitzoeken?:)

    Tóch?

  • Profielfoto
    Raymon Mens

    Een open terminal lijkt me niet nodig. Het kwaadaardige script kan met software meegeleverd worden en bij het openen daarvan zijn gang gaan. Het is niet dat remote toegang tot alle Mac-computers ineens open staat of dat het door een bepaalde website bezoeken kan komen. Zoals ook in het artikel staat; Er is nog te weinig bekend (en dat is misschien maar goed ook).

  • Profielfoto
    fzelders

    N.a.v.

    Open Systeemvoorkeuren
    Open Gebruikers en Groepen
    Kijk of het vinkje bij sta toe dat deze gebruiker de computer beheert uit is

    Vraag: En HOE draai je die gewijzigde instelling later weer terug?

  • Profielfoto
    Raymon Mens

    N.a.v.

    Open Systeemvoorkeuren
    Open Gebruikers en Groepen
    Kijk of het vinkje bij sta toe dat deze gebruiker de computer beheert uit is

    Vraag: En HOE draai je die gewijzigde instelling later weer terug?

    Op het hangslot onderaan drukken en het vinkje bij je eigen account weer aanzetten. Waarschijnlijk wordt je dan om het wachtwoord van het beheerdersacount gevraagd. Ik za het nog even toevoegen in het artikel.

  • Profielfoto
    puccini

    @ Raymond
    Dat aanbevolen vinkje is bij mij grijs en kan het vinkje dus niet weghalen en is er nog optie welke niet op de afbeelding van Raymond staat. n.l. “Sta toe dat gebruiker wachtwoord opnieuw instelt met Apple ID” (OS 10.10)

  • Profielfoto
    Raymon Mens

    @puccini Zie onderaan artikel: Als er maar één account op de Mac is, moet eerst een tweede account dat ook beheerder is aangemaakt worden. Anders zou geen enkele gebruiker nog beheerdersrechten hebben.

  • Profielfoto
    koen

    @puccini heet dus eigenlijk Guus en hij heeft een iMac:grin:

  • Profielfoto
    Arjan110

    Tekst uit artikel:

    Het lek is in OS X Yosemite en oudere versies aanwezig, maar wordt nog niet actief misbruikt.

    Interessant. Hoe weet je dat??

  • Profielfoto
    fzelders

    @Raymon

    Op het hangslot onderaan drukken en het vinkje bij je eigen account weer aanzetten. Waarschijnlijk wordt je dan om het wachtwoord van het beheerdersacount gevraagd. Ik za het nog even toevoegen in het artikel.

    Dank!

    Nog even toevoegen dat de Mac dan wel eerst opnieuw opgestart moet worden?

  • Profielfoto
    mujana

    Vinkje bij “Sta toe dat gebruiker deze computer beheert” nu niet meer aangevinkt.
    Echter: “Sta toe dat gebruiker wachtwoord opnieuw instelt met Apple ID” staat áángevinkt. Kan dat…of moet dat ook uit??

  • Profielfoto
    puccini

    @puccini heet dus eigenlijk Guus en hij heeft een iMac:grin:

    Erg belangrijk koen!

  • Profielfoto
    AppelJuice

    Ga nou niet ineens van alles lopen te zitten uitvinken… Vooralsnog paniek voor niks als je het mij vraagt!

  • Profielfoto
    SunKeeper

    Straks kun je dat vinkje wat je eruit gehaald hebt niet meer terugvinden. Groot probleem.

    [sarcassm mode off]