neprihlásený Pondelok, 11. decembra 2017, dnes má meniny Hilda   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Analýza čo spôsobilo vážnu chybu macOS umožňujúcu prihlásenie roota prázdnym heslom

Značky: bezpečnosťOS X / macOS

DSL.sk, 30.11.2017


Po tom ako bola v utorok zverejnená nepochopiteľná bezpečnostná chyba v najnovšej verzii operačného systému macOS High Sierra 10.13, ktorá umožňuje získať privilegovaný prístup k počítaču neautorizovaným osobám, Apple v stredu vydala aktualizáciu opravujúcu problém a v súčasnosti je už známa aj konkrétna technická príčina.

Odhalila ju analýza bezpečnostného experta Patricka Wardla.

Ako sme informovali vo včerajšom článku, chyba umožňuje prihlásiť sa bez znalosti hesla ako užívateľ s administrátorskými oprávneniami, root. Možné to je jednoducho v prihlasovacom dialógu vyplnením prihlasovacieho mena root a prázdneho hesla, po opakovanom stlačení tlačidla pre prihlásenie.

Podľa pôvodných informácií chyba umožnila získať takto administrátorské oprávnenia v aplikáciách respektíve na realizovanie zmien vyžadujúcich heslo po spustení z pracovnej plochy bežného prihláseného užívateľa. Podľa následných informácií sa takýmto spôsobom ale dalo prihlásiť aj po vypnutí zapnutého počítača, ak nemá šifrovaný disk, alebo odhlásení užívateľa a zrejme aj pri vzdialenom prístupe k počítaču. Z nejasných príčin nebolo podľa testov užívateľov správanie konzistentné, aj keď nie je jasné či dodržiavali presný postup potrebný na prejavenie sa respektíve zneužitie chyby.

Príčinou problému, ktorý sa vyskytuje len v High Sierra 10.13 a nie predchádzajúcich verziách, je v každom prípade logická chyba pri overovaní hesla v samotných základných službách macOS a jej zneužitie by tak malo byť konzistentné.

Logickú povahu chyby v oznámení dostupnosti aktualizácie, ktorá sa začala užívateľom automaticky inštalovať, priznáva aj Apple. Nachádza sa v daemone opendirectoryd.

macOS evidentne používa dva formáty uloženia hesla, starší crypt a novší shadow. Chyba sa podľa zistení Wardla nachádza v spôsobe, ktorým sa overuje heslo v prípade prítomných ale neaktívnych účtov akým je štandarne root.

opendirectoryd sa pokúsi získať shadow heslo, toto v prípade neaktívnych účtov nie je prítomné. Overenie autentifikácie sa potom pokúsi overiť záznam "*" získaný zrejme pri zisťovaní shadow hesla ako crypt heslo oproti heslu zadanému užívateľovi. To skončí tiež chybou, macOS ale túto chybu ignoruje a zároveň sa pokúsi upgradnúť heslo užívateľa na shadow formát. Pri tom podľa Wardla ako heslo uloží heslo zadané užívateľom a tým sa evidentne účet aj aktivuje. To sa stane pri prvom pokuse o autentifikáciu neaktívnym účtom, pri druhom už zaberie heslo zadané užívateľom vrátane prázdneho hesla.

Analýza Wardla bola realizovaná debugovaním a disasemblovaním a úplne jasne neanalyzuje logiku programu a nie je jasné v čom sa odlišuje od implementácie v predchádzajúcich verziách macOS, chyba je ale aj podľa nej evidentne logickej povahy. Buď sa macOS nemal snažil upgradovať heslo pre neaktívne účty, nemal ignorovať neúspešné overenie crypt hesla alebo nemal nastavovať heslo zadané užívateľom.

Z týchto informácií zároveň vyplýva, že rovnako bolo možné získať prístup cez ďalšie prítomné ale neaktívne účty. Fungovať zároveň mohlo prázdne heslo ale aj ľubovoľné iné heslo, dôležité pri ďalších pokusoch bolo zadať rovnaké heslo ako pri prvom.

V každom prípade v súčasnosti je k dispozícii aktualizácia s označením Security Update 2017-001. Overiť, že systém bol korektne aktualizovaný, je možné overením čísla verzia daemona opendirectoryd pomocou what /usr/libexec/opendirectoryd, na 10.13 by to malo byť minimálne opendirectoryd-483.1.5 a na 10.13.1 opendirectoryd-483.20.7.

Aktualizácia evidentne opäť zakáže root účet minimálne u užívateľov, ktorí si ho po týchto informáciách aktivovali. Či rieši aj prípadné takto aktivované iné štandardne deaktivované účty nie je jasné, užívateľom ktorí sa takto pokúsili pristúpiť cez iné účty je odporúčané skontrolovať ich stav.


      Zdieľaj na Twitteri



Najnovšie články:

Pozor, chyba v Androide umožňuje falšovať aplikácie
Lietadlo núdzovo pristálo kvôli nevhodnému menu WiFi siete
Vedci namaľovali najmenšiu Monu Lisu, z DNA
Reklama "nemáme nič nové" napriek 2x zdraženiu dát je v poriadku, rozhodla AK RPR
Na Slovensku spustená ďalšia sieť pre Internet vecí, cez 4G LTE sieť Telekomu
Video používania prvého plnohodnotného ARM notebooku
Nvidia uviedla 3000-dolárovú grafiku
Boeing vážne spochybnil plány SpaceX ohľadne Marsu, prvého človeka tam nedovezie
Nový Star Trek by mohol vytvoriť Quentin Tarantino
Štát upozorňuje na riziká uzatvárania zmlúv s operátormi pred Vianocami


Diskusia:
                               
 

posielam jablká
Odpovedať Známka: 9.0 Hodnotiť:
 

Prve si z nich ale musis odkusnut.
Odpovedať Známka: 8.8 Hodnotiť:
 

Ano. Kusni si do rohlika a ocasom picni po kotniku.
Odpovedať Známka: 0.0 Hodnotiť:
 

Hrozí zácpa.
Odpovedať Hodnotiť:
 

Dobry den citatelia, neda mi neprispiet mojim postrehom, ze Apple to opravil a security update sa nainstaluje automaticky bez sucinnosti pouzivatela.

Tu je screenshot, hned rano ako so zapol mac, hned je bezpecnostny problem opraveny.


Odpovedať Známka: 0.0 Hodnotiť:
 

Dokaz je tu https://ibb.co/eGJaaG

Vdaka Apple!
Odpovedať Známka: 0.0 Hodnotiť:
 

posielam pusinki
Odpovedať Známka: 5.0 Hodnotiť:
 

prijed vecer, manzelka s detmi odjela ke tchyni. ma dira je smutna :(
Odpovedať Známka: 5.6 Hodnotiť:
 

http://dopice.sk/kE3
Odpovedať Známka: 7.8 Hodnotiť:
 

som sice pouzivatel Apple, ale dobre som sa na tom zasmial :D
Odpovedať Známka: 6.7 Hodnotiť:
 

by SteveJ :D
Odpovedať Známka: 5.0 Hodnotiť:
 

jobs je upir.
Odpovedať Známka: 6.0 Hodnotiť:
 

Nejako mi pri tejto téme chýba Buržuj a jeho múdrosti.
Odpovedať Známka: 7.5 Hodnotiť:
 

Alebo G kojot
Odpovedať Známka: 6.7 Hodnotiť:
 

Chudáci applisti bez pripojenia k netu, alebo s mobilným pripojením, pri ktorom na aktualízacie kašľú :)

Aj takí existujú
Odpovedať Známka: 3.3 Hodnotiť:
 

Tyto tu bezpecnostni experti to je jak slovenski politologovia . Rano si otvoria tablet/notebook/Novy cas daju kavicku pozru dake zdrojaky a tliachaju svoje nazory na blog a zarobene. To je jedno ci je to pravda oni povedali len svoje subjektivne nazory.
Odpovedať Známka: 2.0 Hodnotiť:
 

Schopnost vyjadrovania svojich subjektivnych nazorov je priekazne luxusny produkt.
Odpovedať Známka: -3.3 Hodnotiť:
 

ALE URCITE V TOM BOL ZASE NEJAKY VYJ3BANY VYKRICNIK
Odpovedať Známka: 5.0 Hodnotiť:
 

myslis takyto (_!_)
Odpovedať Známka: 5.0 Hodnotiť:

Pridať komentár