Een Turkse veiligheidsonderzoeker heeft een grote bug in macOS High Sierra blootgelegd. De fout maakt het mogelijk voor een aanvaller om toegang te krijgen tot een machine zonder wachtwoord - evenals toegang tot krachtige beheerdersrechten. Apple heeft een patch uitgegeven om de kwetsbaarheid op te lossen die van invloed is op bijna alle macOS High Sierra-systemen.
Niet-gepatchte systemen blijven echter onveilig ...
Wat is de bug?
De fout werd verbroken door de Turkse ontwikkelaar Lemi Orhan Ergan. Hierdoor kon iedereen volledige administratieve rechten verkrijgen over een macOS High Sierra-machine door simpelweg "root" in te voeren als gebruikersnaam in het authenticatiedialoogvenster. Vervolgens wordt het wachtwoordveld leeg gelaten en twee keer op de knop "Ontgrendelen" geklikt, volledige beheerstoegang wordt verleend.
U hebt toegang via Systeemvoorkeuren> Gebruikers en groepen> Klik op het slot om wijzigingen aan te brengen. Gebruik vervolgens "root" zonder wachtwoord. En probeer het meerdere keren. Resultaat is ongelooflijk! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28 november 2017
In theorie, voor de patch, als je je Mac onbewaakt achterliet, kon iemand gemakkelijk toegang krijgen en je machine vernielen. Ze kunnen bijvoorbeeld malware 5 Easy Ways installeren om je Mac te infecteren met malware 5 Eenvoudige manieren om je Mac te infecteren met malware Je zou denken dat het behoorlijk moeilijk is om je Mac te infecteren met malware, maar er zijn altijd uitzonderingen. Hier zijn vijf manieren om je computer vies te maken. Meer lezen, wachtwoorden vastleggen 5 Eenvoudige manieren om uw Mac te infecteren met malware 5 Eenvoudige manieren om uw Mac te infecteren Met malware U denkt misschien dat het vrij moeilijk is om uw Mac te infecteren met malware, maar er zijn altijd uitzonderingen. Hier zijn vijf manieren om je computer vies te maken. Meer lezen met sleutelhanger Toegang Moet u iCloud-sleutelhanger gebruiken om wachtwoorden op Mac en iOS te synchroniseren? Moet u iCloud-sleutelhanger gebruiken om wachtwoorden op Mac en iOS te synchroniseren? Als u voornamelijk Apple-producten gebruikt, kunt u de eigen wachtwoordbeheerder van het bedrijf helemaal gratis gebruiken? Lees meer, verwijder of ruïneer uw Apple ID, en meer.
Maar Apple heeft het probleem opgelost, toch?
Toen ik dit artikel schreef, bracht Apple de beveiligingsupdate uit om het probleem op te lossen. In de updatefunctie Apple-contentinhoud staat: "Er was een logische fout bij de validatie van referenties. Dit werd aangepakt met een verbeterde referentie-validatie. "
De oplossing is al beschikbaar in de Mac App Store. De update is ook vanaf woensdag 29 november automatisch van toepassing op Macs met High Sierra 10.13.1. Apple heeft de situatie uitgebreid met de volgende verklaring:
"Beveiliging is een topprioriteit voor elk Apple-product en helaas stuitten we op deze versie van macOS.
"Toen onze beveiligingsingenieurs dinsdagmiddag op de hoogte waren van het probleem, begonnen we meteen aan een update te werken die de beveiligingslek dichtt. Vanochtend, vanaf 8 uur, is de update beschikbaar om te downloaden en vanaf vandaag wordt deze automatisch geïnstalleerd op alle systemen met de nieuwste versie (10.13.1) van macOS High Sierra.
"We hebben grote spijt van deze fout en bieden onze excuses aan voor alle Mac-gebruikers, zowel voor het vrijgeven van dit beveiligingslek als vanwege de bezorgdheid die dit heeft veroorzaakt. Onze klanten verdienen beter. We controleren onze ontwikkelingsprocessen om te voorkomen dat dit opnieuw gebeurt. "
Maar zij wisten er al over?
Helaas voor Apple was dit probleem al naar boven gekomen - maar kreeg geen actie. Een lid van het ondersteuningsforum van Apple heeft meer dan twee weken geleden exacte details van de bug gepost. De oorspronkelijke post en reacties lijken de grootste fout te zien als een potentiële probleemoplossingsfunctie, in plaats van een kritieke beveiligingsdreiging.
"De beveiligingsfout was oorspronkelijk gedetailleerd als een oplossing voor een gebruikersaanmeldingsprobleem op het ondersteuningsforum van Apple voor ontwikkelaars." Gast, de exploit was op de internets. Hoe zit het met het toestaan van alle Twitter potentieel zichzelf te beschermen tegen deze bug door het instellen van een root-wachtwoord? https://t.co/sGLJW1pSOq
- elizabeth j allen (@ej_allen) 29 november 2017
Wat moet ik nu doen?
Nou, het eerste wat je moet doen, is controleren of er een systeemupdate is. Apple zou de automatische update van de patch op enig moment in de afgelopen 24 uur uitrollen. Als de automatische update niet is verschenen, ga dan naar de Mac App Store en zoek daar naar de update. Of klik op deze link.
Zodra de update is gedownload, moet u deze onmiddellijk installeren.
Het werkt niet
Als de update om welke reden dan ook niet kan worden geïnstalleerd, schakelt u eerst uw systeem uit en weer in en probeert u het opnieuw. Apple heeft het proces geautomatiseerd.
Anders volgt u deze stappen om uw systeem in de tussentijd te beveiligen:
- Open Spotlight, zoek naar Directory Utility, selecteer de corresponderende optie
- Klik op het slot om wijzigingen aan te brengen; voer uw gebruikersnaam en wachtwoord in voor het administratieve account
- Ga naar Menu> Bewerken
- Selecteer Root-gebruiker inschakelen ; maak een wachtwoord aan en verifieer
Dit is echter een stop-gap. Probeer de officiële update te installeren.
Ogen op de Bron
Terwijl Apple de bug oplost, kijken de ogen naar Lemi Orhan Ergan. De zelf beschreven 'software-vakman' krijgt kritiek omdat hij zich niet houdt aan de richtlijnen voor verantwoorde openbaarmaking Volledige of verantwoorde openbaarmaking: hoe beveiligingskwetsbaarheden worden onthuld Volledige of verantwoorde openbaarmaking: hoe beveiligingslekken worden onthuld Beveiligingslekken in populaire softwarepakketten worden voortdurend ontdekt, maar hoe worden ze gerapporteerd aan ontwikkelaars en hoe leren hackers over kwetsbaarheden die ze kunnen misbruiken? Lees verder . Responsible disclosure vraagt beveiligingsonderzoekers om bedrijven te informeren over beveiligingsrisico's om tijd te maken om het probleem te verhelpen. Nadat de fout is verholpen, is de onderzoeker duidelijk om zijn bevindingen aan het publiek voor te stellen.
DIT IS GEEN VERANTWOORDELIJKE OPENBAARMAKING. Dit is uiterst onverantwoordelijk, vooral voor een kwetsbaarheid van deze omvang. Apple heeft een uitstekend disclosure-systeem en hun team reageert bijzonder goed. Doe alsjeblieft geen dingen als deze. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28 november 2017
Natuurlijk werkt dit systeem niet altijd zoals bedoeld. Bedrijven reageren niet en beveiligingsonderzoekers worden ongeduldig. In die gevallen dwingt het creëren van een openbaar probleem de hand van het bedrijf, waardoor ze gedwongen worden de beveiligingsdreiging op te lossen.
Na een aanzienlijke hoeveelheid kritiek ontvangen te hebben, plaatste Ergan een riposte op Medium. Hij legt uit dat hij "noch een hacker, noch een beveiligingsspecialist is", en blijft "Ik concentreer mij uitsluitend op beveiligde codeerpraktijken tijdens het programmeren, maar ik kan mezelf nooit een beveiligingsspecialist noemen."
Beste @AppleSupport, we hebben een * ENORM * beveiligingsprobleem opgemerkt bij MacOS High Sierra. Iedereen kan als "root" inloggen met een leeg wachtwoord door meerdere keren op de login-knop te klikken. Weet je het @Apple?
- Lemi Orhan Ergin (@lemiorhan) 28 november 2017
In alle eerlijkheid werd de bug besproken op het ondersteuningsforum van Apple. Verder beweert Ergan dat zijn collega's van het betalingskantoor Iyzico op 23 november de bedreiging aan Apple bekendmaakten - maar nooit een reactie hebben ontvangen.
Eyes on the Ball
Van de bron tot het bedrijf. Heeft Apple deze door het net laten glippen? In één woord, ja: vooral als ze op de hoogte waren van de bug zoals Ergan beweert. Helaas weten we de waarheid niet, dus kunnen we de situatie niet goed beoordelen.
Zelfs na een tweede gedwongen update in een jaar (nog steeds alleen hun tweede gedwongen beveiligingsupdate ooit), zou Apple zich geen zorgen moeten maken. Instanties van MacOS- en iOS-malware nemen toe Apple-gerichte malware neemt toe - Hierop moet je letten in 2016 Apple-gerichte malwareverhogingen - Hierop moet je letten in 2016 Apple-hardware is niet langer een veilige haven voor hackers, malware en ransomware en andere cyberbedreigingen. De eerste helft van 2016 bewijst dat uw apparaten zonder de juiste voorzorgsmaatregelen risico's kunnen worden .... Lees meer, maar Windows en Android blijven de belangrijkste doelen Wat is het meest veilige mobiele besturingssysteem? Wat is het meest veilige mobiele besturingssysteem? Vechtend voor de titel van het meest veilige mobiele besturingssysteem, hebben we: Android, BlackBerry, Ubuntu, Windows Phone en iOS. Welk besturingssysteem is het best in staat zich staande te houden tegen online aanvallen? Lees verder . Verder heeft Apple een geweldig beveiligingsrecord voor het grootste deel van The Ultimate Mac Security Guide: 20 manieren om uzelf te beschermen De ultieme Mac-beveiligingsgids: 20 manieren om uzelf te beschermen Wees geen slachtoffer! Beveilig uw Mac vandaag met onze uitgebreide beveiligingsgids voor High Sierra. Lees meer, zoals blijkt uit hun snelle en effectieve update-uitrol om de snelgroeiende dreiging te onderdrukken.
Ben je getroffen door het beveiligingsprobleem van Apple? Of kwam de update snel genoeg om je zorgen te maken? Laat ons hieronder jouw mening weten!