frank
Goto Top

MacOS: Sicherheitslücke durch Root-Zugriff selbst schließen

Eine neue ziemlich heftige Sicherheitslücke in macOS High Sierra 10.13.1 (17B48) macht die Runde. Sie erlaubt unbefugten den Root-Zugriff indem einfach das Passwort leer gelassen wird (einfach mehrfach ausprobieren, ahrg). Dummerweise funktioniert das sogar mit dem Gastzugang (gerade ausprobiert). Das ist wirklich sehr sehr schlecht, was machen die bei Apple?

Aktuell gibt es leider noch keinen Patch dazu. Mann kann die Lücke aber sehr schnell selbst schließen, in dem man dem User Root einfach ein eigenes Passwort vergibt.
We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/de-de/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section. Apple


Hier die Schritt für Schritt Anleitung um den Fehler selbst zu beheben:

  • Melde dich mit deinem User auf dem macOS Desktop an, dieser sollte Adminrechte haben (obwohl, durch die Lücke geht's auch ohne)
  • Drücke auf der Tastatur die "Command" und die Leertaste gleichzeitig, damit sich die globale Spotlightsuche öffnet. Alternativ klicke oben rechts in der Menüleiste, neben der Uhr auf das "Lupen"-Icon. Auch dann öffnet sich das Eingabefeld von Spotlight
  • Gebe nun den Begriff "Verzeichnisdienste" ein und drücke "Return" bzw. die Eingabetaste (oder auf das nun erscheinende Verzeichnisdienste-Icon).

bildschirmfoto 2017-11-29 um 11.10.45

  • Es öffnet sich das "Verzeichnisdienste"-Fenster. Klicke nun auf das Schlosssymbol unten links im Fenster, und gebe anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.

bildschirmfoto 2017-11-29 um 11.08.11

  • Das Schloss sollte jetzt "geöffnet" angezeigt werden. Klicken oben im Menü auf "Bearbeiten" und wähle den Punkt -> "root-Passwort ändern".

bildschirmfoto 2017-11-29 um 11.08.47

  • Nun vergibst du ein neues und sicheres Passwort. Fertig, die Sicherheitslücke ist damit geschlossen face-smile

bildschirmfoto 2017-11-29 um 11.18.36

Sollte der Fehler irgendwann per Patch behoben sein kann man den nun aktiven Root-Account im Verzeichnisdienste-Fenster über das Menü -> Bearbeiten -> "root-Benutzer deaktivieren" auch wieder deaktivieren. Danach sollte man aber nochmal prüfen, ob man sich wieder ohne Passwort als Root anmelden kann.

Ich muss leider zugeben, das war für macOS die bisher schlimmste und dümmste Sicherheitslücke.

Passwort per Terminal ändern

Hier die Lösung für Mac-User, die wissen was ein Terminal ist. Terminal öffnen (geht auch über die Spotlight-Suche) und folgenden Befehl eingeben:
passwd root

Man braucht durch die Lücke das "sudo" nicht mal davor zu setzten (lol). Hier ein Screenshot als angemeldeter Gast:

bildschirmfoto 2017-11-29 um 12.51.59

Gruß
Frank

Content-ID: 356494

Url: https://administrator.de/contentid/356494

Printed on: December 10, 2024 at 15:12 o'clock

Tungdal
Tungdal Nov 29, 2017 updated at 11:50:09 (UTC)
Goto Top
Hallo @Frank,
danke für die Information. Aber ich hab mal eine Frage (bin selbst kein Mac-User, nur Linux).
Ist es nicht möglich das Passwort einfach übers Terminal mit "passwd root" zu ändern?

Gruß, Max

Edit: bzw "sudo passwd root"
Frank
Frank Nov 29, 2017 updated at 12:03:40 (UTC)
Goto Top
Hallo @Tungdal,

ja, klar das geht auch. Für den Durchschnitts-Mac-User wollte ich den Weg aber so einfach wie möglich halten. Suche nach dem Verzeichnissdienst, Entsperren und auf den Menüpunkt "root-Passwort ändern" fand ich jetzt auch sehr einfach.

Hier die Lösung für Mac-User, die wissen was ein Terminal ist. Terminal öffnen (geht auch über die Spotlight-Suche) und folgenden Befehl eingeben:

passwd root

Man braucht durch die Lücke das "sudo" nicht mal davor zu setzten (lol). Hier ein Screenshot als angemeldeter Gast:

bildschirmfoto 2017-11-29 um 12.51.59

Ich habe das auch oben in der Anleitung aktualisiert.

Gruß
Frank
Lochkartenstanzer
Lochkartenstanzer Nov 29, 2017 at 12:05:01 (UTC)
Goto Top
Zitat von @Frank:

..., was machen die bei Apple?

Vermutlich Ihr Geld zählen und mit dem Koksdealer verhandeln, wie sie das Geld in Schnee umsetzen.

lks
134464
134464 Nov 29, 2017 updated at 12:07:49 (UTC)
Goto Top
was machen die bei Apple?
Die Leute "veräppeln" natürlich, was sonst face-smile.
Tungdal
Tungdal Nov 29, 2017 at 12:09:17 (UTC)
Goto Top
Hallo,
danke für die Antwort, nach einer kurzen Internetrecherche hab ich diesen Link gefunden, der meine Frage beantwortet hätte face-smile

Gruß, Max

PS: In meinem Link steht noch als Ergänzung
*** If the root user account is not yet enabled, choose “Enable Root User” and then set a password instead.
Ich vermute, das müsstest du noch deiner Anleitung hinzufügen.
Frank
Frank Nov 29, 2017 at 12:58:12 (UTC)
Goto Top
@Tungdal

Ich vermute, das müsstest du noch deiner Anleitung hinzufügen.

Nein, das braucht man nicht, da der root-Account automatisch aktiviert wird, wenn man ihm ein Passwort gibt (egal ob über Terminal oder per Verzeichnisdienst).

Gruß
Frank
Alchimedes
Alchimedes Nov 29, 2017 updated at 14:38:59 (UTC)
Goto Top
Hallo,

tatsaechlich ist der Rootaccount per se deaktiviert.
Wie oben beschrieben braucht es dazu nur ein passwd root um in zu aktivieren.

Interessanterweise wird ueber den Verzeichnisdienst das alte rootpw nicht abgefragt, aber ueber das Terminal schon.
Mal als Hinweis, sollte man sein Login vergessen haben und es ist nicht mehr moeglich sich anzumelden, kann in der Shell im Superusermode
mit ein paar Zeilen ein neues Passwort vergeben werden.

Wie das genau geht schreib ich hier jetzt nicht, Anleitungen dafuer gibt es im Netz.

Gruss
Grendelbox
Grendelbox Nov 29, 2017 at 18:16:51 (UTC)
Goto Top
Fix für 10.13 ist raus...

"Sicherheits-Update 2017-001"

im App Store installieren...