image

Lek in OS X Yosemite geeft lokale aanvaller rootrechten

dinsdag 4 november 2014, 11:14 door Redactie, 8 reacties
Laatst bijgewerkt: 04-11-2014, 12:17

Een Zweedse beveiligingsonderzoeker heeft een beveiligingslek in Mac OS X Yosemite ontdekt waardoor een lokale aanvaller rootrechten kan krijgen. De "rootpipe" kwetsbaarheid werd ontdekt door Emil Kvarnhammar, die het probleem op 14 oktober op YouTube demonstreerde.

Daarnaast werd het lek ook door de Zweedse krant Aftonbladet uitgemeten. Normaliter moeten gebruikers bij het gebruik van het sudo-commando een wachtwoord opgeven om rootrechten te krijgen. De exploit van Kvarnhammar omzeilt deze vereiste. Details over de kwetsbaarheid wil de onderzoeker echter pas geven als Apple het probleem heeft gepatcht, wat waarschijnlijk in januari volgend jaar zal zijn.

In de tussentijd kunnen gebruikers zich beschermen door geen adminaccount te gebruiken, maar een account met verminderde rechten in te stellen. De exploit werkt namelijk alleen met een adminaccount. De meeste Mac-gebruikers zouden echter met slechts één account werken, zo laat Kvarnhammar tegenover het Zweedse Techworld weten.

Image

Reacties (8)
04-11-2014, 11:44 door Briolet
In de tussentijd kunnen gebruikers zich beschermen door geen adminaccount te gebruiken, maar een account met verminderde rechten in te stellen.

Volgens mij is dit dan ook je eigen fout als je standaard een admin account gebruikt. Onder een user account kun je vrijwel alles doen, inclusies admin taken, zolang je maar steeds het wachtwoord van een beheerders account opgeeft. Volgens mij log ik maar 2 of 3 maal per jaar in onder een admin account.

Alleen root-toegang verkrijgen via een 'sudo' commando lukt niet vanuit een user account. En blijkbaar werkt het lek ook niet vanuit een user account.
04-11-2014, 12:00 door Anoniem
Logica wordt me nog niet geheel duidelijk

Een Zweedse beveiligingsonderzoeker heeft een beveiligingslek in Mac OS X Yosemite ontdekt waardoor een lokale aanvaller rootrechten kan krijgen.

Je verkrijgt dus rootrechten terwijl je bent ingelogd onder een standaard account.
Een standaard account kan je op je Mac aanmaken naast het 1e account dat een administrator account is.

Normaliter moeten gebruikers bij het gebruik van het sudo-commando een wachtwoord opgeven om rootrechten te krijgen.

Inderdaad, wanneer je onder je admin account bent ingelogd en bepaalde commando's wil uitvoeren.

Echter, wanneer je onder een standaard account bent ingelogd heb je helemaal géén rechten om Sudo commands uit te voeren want een standaard gebruiker is standaard niet opgenomen in de sudoers list (!).
Dat is ook de melding die je krijgt wanneer je het sudo commando toch probeert uit te voeren (acces denied).

In de tussentijd kunnen gebruikers zich beschermen door geen AdminAccount te gebruiken, maar een account met verminderde rechten in te stellen.

Yep dat is het standaard advies, standaard werken onder je standaard account met standaard rechten. En inderdaad, dat zouden veel meer gebruikers nog kunnen doen, dat geldt voor Mac gebruikers, voor windows gebruikers en waarschijnlijk ook voor Linux gebruikers.

Maar het hele punt was toch dat er geconstateerd werd dat je juist vanuit dit standaard account met een sudo command rootrechten kon verkrijgen?
Ten minste, ik neem aan dat met lokale aanvaller actieve malware wordt bedoeld dat actief is onder een standaard account waaronder je op dat moment bent ingelogd.

Of hebben we het over malware die nog steeds actief is onder een account waaronder je niet bent ingelogd?

Iets met Fast User Switching enabled wellicht?
Het is zo even uit mijn hoofd allang bekend dat je met deze functie minder/niet veilig bent.

Niet activeren, het staat bij mijn weten standaard uit.

Iemand anders ideeën hoe het zit?
(een semi externe route / iets met gebruik van com.apple.acces_screensharing / com.apple.access_ssh ?)
04-11-2014, 12:52 door Tubamaniak
Ik ben dan ook nog benieuwd of dit lek alléén in Yosemite voorkomt of ook in oudere versies van os X. Iemand die dat weet ?
04-11-2014, 13:33 door Anoniem
Door Tubamaniak: Ik ben dan ook nog benieuwd of dit lek alléén in Yosemite voorkomt of ook in oudere versies van os X. Iemand die dat weet ?

Als ik dit url zo door lees is het hem oa met een iets andere versie ook op 10.8.5 gelukt:
http://www.macworld.com/article/2841965/swedish-hacker-finds-serious-vulnerability-in-os-x-yosemite.html

"He tested the vulnerability on version 10.8.5 of the OS and got it to work, he says. Then he tried on 10.9 but with no luck.

“I was a bit dejected but continued to investigate,” Kvarnhammar said. “There were a few small differences [in later releases] but the architecture was the same. With a few modifications I was able to use the vulnerability in the latest Mac OS X, version 10.10.”
04-11-2014, 14:26 door [Account Verwijderd]
[Verwijderd]
04-11-2014, 15:05 door Anoniem
Door Picasa3: En nu gaat iedereen inloggen als "standaard gebruiker"? Kom mensen. Het lek is alleen gemeld aan Apple (Responsible Disclosure)

Ja, maar niet per se hierom!

Dat had je uit security overwegingen eigenlijk allang moeten gaan doen. *
Tenminste als je verbonden bent met het internet of 'contact' hebt met andere apparaten , sticks & devices.

* Op het moment dat je je Mac in gebruik nam.
04-11-2014, 17:18 door Anoniem
Tja,dit lek is wel gepatched in Maverics,soort gelijk probleem.
Dus met een beetje extra code kan je zelf misschien al gelijk een eigen patch maken.
Maar ja dan moet je wel kunnen programeren,en dat kan ik niet.
Maar goed ik denk dat Apple wel een keer komt met een service update voor Yosemite,genaamd 10.10.1.
Ze zijn er geloof ik mee bezig.
Dan zal dit lek hopelijk ook gedicht zijn.
Tevens zijn er ook nog problemen met Wifi verbindingen in Yosemite wordt op vele fora over geschreven.
Dus voor Apple werk aan de winkel om ook dit probleem te verhelpen in Yosemite 10.10.1
05-11-2014, 10:56 door Anoniem
Ik vind het jammer dat het niet duidelijk is of dit een hack is waarbij sudo kan worden omzeild of dat het specifiek iets is wat alleen in een admin account op OSX werkt.
Op mijn hackintosh gebruik ik een standaard gebruikers account welke sudo kan gebruiken dus ik ben benieuwd of deze local exploit dan ook werkt, en nog belangrijker: misschien treft dit ook freebsd (aangezien darwin daarop gebaseerd is).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.