Schwere Sicherheitslücke: root ohne Passwort mit macOS High Sierra

Mit ein paar Klicks können sich eingeloggte Nutzer in macOS 10.13 root-Rechte besorgen. Apple lässt eine extrem einfache Privilege Escalation zu.

Der türkische Developer Lemi Orhan Ergin hat auf Twitter eine schwere Sicherheitslücke veröffentlicht, die die macOS-Version 10.13 alias High Sierra betrifft – inklusive des aktuellen Final Releases 10.13.1 und offenbar auch Betaversionen von 10.13.2. Apple hat es augenscheinlich versäumt, den root-Account korrekt abzusichern beziehungsweise zu deaktivieren, was auch normalen Nutzern erlaubt, zum Superuser zu werden. Sie müssen nur Zugriff auf einen eingeloggten Account haben. [Update 29.11.17 15:40 Uhr:] Klarstellung: Dabei kann es sich sowohl um einen Administrator- als auch einen Standardzugang handeln. [/Update]

Klicken und schon root

Um die Lücke auszunutzen, muss man sich in die Systemeinstellungen begeben und einen Dialog auswählen, der Administratorrechte verlangt – etwa jenen, mit dem sich neue Accounts kreieren lassen. Nach dem Klick auf das Schlosssymbol zum Entsperren wird als Username "root" eingegeben und das Passwortfeld leer gelassen. Nach einmaligem Selektieren des leeren Feldes lässt sich auf "Schutz aufheben" klicken (gegebenenfalls mehrmals) – und man ist drin. Anschließend agiert man als Root-User und kann sich im System beispielsweise einen neuen Zugang mit allen Rechten anlegen.

Nutzer berichten zudem, dass nach einem Reboot beziehungsweise frischen Einloggen "root" ohne Passwort auch als System-Login verwendet werden kann, solange es in diesem Dialog möglich ist, einen freien Benutzernamen einzugeben, statt aus einer Liste von Nutzern auszuwählen. Diese Einstellung ist allerdings kein Standard, wurde bislang aber als Sicherheitstipp gehandelt, weil Angreifer in diesem Fall auch den Accountnamen herausfinden müssen und nicht nur das Passwort eines Benutzers.

root-Account aktivieren und Passwort setzen hilft

Kurzfristige Abhilfe gegen die root-Lücke schafft, dem root-Account schlicht ein Passwort zuzuordnen. Dazu muss dieser normalerweise zunächst aktiviert werden. Wie dies inklusive Passwortvergabe funktioniert, beschreibt Mac & i in diesem Tipp. Laut ersten Angaben des Konzerns ist das Sicherheitsteam über das grundsätzliche Problem bereits informiert und werkelt an einem Fix. "Wir arbeiten an einem Software-Update, um den Fehler zu adressieren", hieß es. Das Unternehmen empfiehlt zusätzlich, zu überprüfen, ob ein eventuell zuvor aktivierter Root-Zugang über ein Passwort verfügt – das scheint ebenfalls nicht immer der Fall zu sein.

Apple hatte sich in macOS High Sierra bereits zuvor einen echten Sicherheitsklopfer geleistet. Verschlüsselte APFS-Volumes zeigten ihr Passwort unerwartet als Merkhilfe. Eine Lücke im macOS-Schlüsselbund, die böswilligen Apps einen Zugang zu zentralen Passwörtern erlaubt, wurde in macOS 10.12 und 10.11 zudem erst spät behoben. Dafür sind diese älteren Systeme von der am Dienstag entdeckten root-Lücke offenbar nicht betroffen, zumindest legen das erste Versuche nahe.

Mehr zum Thema:

• root-Account in macOS High Sierra absichern

[Update 29.11.17 11:04 Uhr:] Hinweis auf Behebung der Schlüsselbundlücke korrigiert.

[Update 29.11.2017 17:50 Uhr] Apple hat inzwischen ein Sicherheits-Update freigegeben, das die Lücke in macOS High Sierra schließen soll.

[Update 29.11.17 20:25 Uhr:] Die root-Lücke erlaubt auch einen passwortlosen Zugriff auf Macs, auf denen der Remote-Zugriff ("entferne Verwaltung") aktuell aktiviert ist – gegebenfalls sogar aus dem internet, sollten die entsprechenden Ports im Router / der Firewall nach außen freigegeben sein beziehungsweise weitergeleitet werden. (bsc)