image

Nieuw lokaal root-lek in macOS was al bekend bij Apple

maandag 1 januari 2018, 14:41 door Redactie, 19 reacties
Laatst bijgewerkt: 01-01-2018, 19:05

Een onderzoeker met het alias Siguza heeft een kwetsbaarheid in macOS openbaar gemaakt waardoor een kwaadaardige applicatie of gebruiker het systeem volledig kan overnemen en waarvoor nog geen update beschikbaar is. Het beveiligingslek was echter al bekend bij Apple dat dacht het probleem te hebben gepatcht. De beveiligingsupdate was echter niet door Apple geverifieerd, aldus Siguza op Hacker News.

Daardoor is ook de meest recente versie van macOS kwetsbaar. Het beveiligingslek is aanwezig in IOHIDFamily, een kernelextensie die wordt gebruikt voor human interface devices (HID). Via de kwetsbaarheid kan een ongeprivilegieerde gebruiker code met kernelrechten uitvoeren. De onderzoeker maakte de kwetsbaarheid en bijbehorende exploit gisterenavond openbaar.

Er was kritiek op de werkwijze, aangezien Apple niet in staat zou zijn geweest om een update te ontwikkelen. Siguza laat weten dat hij de kwetsbaarheid bij het Zero Day Initiative (ZDI) van anti-virusbedrijf Trend Micro had aangemeld. Het ZDI betaalt onderzoekers voor het melden van onbekende kwetsbaarheden. Vervolgens informeert het ZDI de betreffende leverancier zodat er een update ontwikkeld kan worden.

De onderzoeker had de exploit en zijn beschrijving al klaarliggen met de intentie om het openbaar te maken. "Voornamelijk omdat ik meer van hacken dan van geld hou", zo stelt Siguza. Toch was hij benieuwd wat hij voor de kwetsbaarheid zou krijgen, waarop hij het ZDI benaderde. De aangeboden beloning was echter niet genoeg voor de onderzoeker om hem van gedachten te doen veranderen waarop hij tot publicatie overging.

Hij merkt op dat hij vanwege zijn liefde voor hacking zijn werk openbaar heeft gemaakt en Apple geen hak wil zetten. Om de kwetsbaarheid uit te buiten moet een aanvaller al code op het systeem kunnen uitvoeren. "Als je je zorgen maakt over mensen die dat kunnen, dan kunnen ze ook al zonder mij kernelrechten krijgen. Dus voor de doorsnee gebruiker verandert er niets", zo laat de onderzoeker verder weten. Om de aanval te laten werken wordt de gebruiker uitgelogd. Wanneer gebruikers onverwachts worden uitgelogd kan dit een teken zijn, merkt Siguza op. Tevens geeft hij gebruikers het advies om geen onbetrouwbare software uit te voeren.

Apple zou inmiddels met een update voor de kwetsbaarheid bezig zijn. Na de publicatie van zijn rapport nam een Apple-engineer contact met Siguza op en stelde dat Apple het probleem al had gevonden en er ook een patch voor het probleem was ontwikkeld. Deze update bleek de kwetsbaarheid echter niet te verhelpen. Verder liet de engineer weten dat het Apple-team de uitgebreide beschrijving van de onderzoeker waardeerde.

Update

Siguza meldt op Hacker News dat de meest recente versie van macOS (10.13.2) nog steeds kwetsbaar is. Alleen de exploit van de onderzoeker werkt niet meer op deze versie "out of the box". Hij merkt echter op dat het mogelijk is om de exploit aan te passen zodat de aanval wel op macOS 10.13.2 kan worden uitgevoerd.

Reacties (19)
01-01-2018, 15:22 door Anoniem
Was dit al bekend als exploit of gewoon als bug? Soms zie ik bugs zitten, waar ik niet meteen van uitga dat ze ook exploitable zijn. In dit geval kan Apple het gewoon gezien hebben als een bug, en dus niet als een aanvals punt. Dit bericht is dan ook vrij nutteloos zonder deze informatie.
01-01-2018, 15:35 door -karma4
Closed source software hè... Dan ben je totaal overgeleverd aan de grillen van de leverancier.
01-01-2018, 17:12 door Anoniem
Door The FOSS: Closed source software hè... Dan ben je totaal overgeleverd aan de grillen van de leverancier.
Ik zou willen adviseren - voordat je reageert - om alles te lezen.
De exploit werkt namelijk NIET op de allerlaatste versie van MacOS, dus 10.13.2.
Het gaat specifiek om het gedeelte IOHIDSystem, dat volgens de ontdekker alleen aanwezig is op macOS, waardoor de kwetsbaarheid niet bestaat op iOS. De kwetsbaarheid is te misbruiken voor systemen die draaien op Sierra 10.12.0 tot High Sierra 10.13.1. Volgens de maker is de exploit niet te gebruiken bij High Sierra 10.13.2, al zegt hij niet te weten waar dat aan ligt. De maker heeft de exploit gepubliceerd op GitHub.
https://tweakers.net/nieuws/133393/macos-kernel-blijkt-vatbaar-voor-aanval-via-exploit.html
01-01-2018, 17:46 door karma4
Door The FOSS: Closed source software hè... Dan ben je totaal overgeleverd aan de grillen van de leverancier.
Heb je iets van de analyze gelezen?
Siguza verwijst naar de source van Apple welke blijkbaar beschikbaar is. OSS! Datums geven 2002 aan maar de verwijzing naar next zou kunnen duiden op iets van nog 10 jaar ouder.
Het risico schatten Siguza laag in omdat je code op de machine moet kunnen draaien en om root te krijgen een restart.
Het opent de weg voor een ketting aanval maar die kans tja..
01-01-2018, 18:30 door ph-cofi
https://opensource.apple.com/source/IOHIDFamily/
Sourcebrowser. Have fun.

Het lijkt wel of Apple kwaliteitscontrole problemen heeft (testgeval ongevalideerd gelaten)?
01-01-2018, 18:43 door Anoniem
Op tweakers wordt gemeld dat onderzoeker het niet kan reproduceren in 10.13.2 en daarmee in de laatst patch is opgelost
02-01-2018, 05:48 door -karma4 - Bijgewerkt: 02-01-2018, 05:54
Door ph-cofi: https://opensource.apple.com/source/IOHIDFamily/
Sourcebrowser. Have fun.

Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
02-01-2018, 06:17 door karma4
Door The FOSS:
Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
He wat jammer nou. Dag 2 en het oude bashing steekt weer op.
Ook IBM Intel Microsoft Oracle SAP hebben als commerciëlen zeer veel openbaar gegeven. Waar de bron dat verplicht stelt of het niet differentiërend iets is dan hebben ze er voorkeur voor.
Niet differentiërend OSS betekend ook dat ze de verantwoording niet hoeven te nemen. Veel goedkoper als je niet verantwoordelijk bent.
02-01-2018, 08:16 door Anoniem
Door The FOSS: Closed source software hè... Dan ben je totaal overgeleverd aan de grillen van de leverancier.

Laat me raden, je gebruikt een opensource bios variant, eigen gebakken chips en controleerd Z E L F alle code die je gebruikt op A L je devices en gebruiksvoorwerpen?

Next.
02-01-2018, 09:30 door -karma4 - Bijgewerkt: 02-01-2018, 09:33
Door karma4:
Door The FOSS:
Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
He wat jammer nou. Dag 2 en het oude bashing steekt weer op.

Wat nou dag 2? Doe toch niet zo wijverig man!

Het is een feit dat Microsoft closed source software levert. En staan ze daarin nog meer alleen dan ik al dacht want Apple is blijkbaar deels open source. Zou er een correlatie zijn met de hoeveelheid malware waarmee Microsoft wordt geconfronteerd? (In tegenstelling tot Apple en Linux).
02-01-2018, 10:40 door Anoniem
Door The FOSS:
Door karma4:
Door The FOSS:
Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
He wat jammer nou. Dag 2 en het oude bashing steekt weer op.

Wat nou dag 2? Doe toch niet zo wijverig man!

Ik had niet gedacht dat ik het nog ooit met Karma4 eens zou worden maar in dit geval wel.

Hou nou eens op met dat OS bashing, er kunnen meerdere redenen zijn waarom iemand voor een bepaald product kiest/moet kiezen. We zijn allemaal volwassen mensen die in staat zouden moeten zijn om zelf een afweging te maken voor product a, b of c. Ik weet 100% zeker dat de meest fervente voorstander van opensource OOK closed source software gebruikt dus schei maar uit met dat verhaaltje.
02-01-2018, 10:55 door Anoniem
Zou er een correlatie zijn met de hoeveelheid malware waarmee Microsoft wordt geconfronteerd? (In tegenstelling tot Apple en Linux).
Ik denk het niet. Het zal vooral te maken hebben met het marktaandeel, wat voor macOS ergens rond de 8% schommelt. Dat is voor criminelen een minder interessant markt dan Windows. iOS heeft een gesloten App Store, vandaar dat je daar vrijwel geen malware ziet. Hetzelfde geldt/gold voor Windows Phone, waar ook zo goed als geen malware voor bestond.
02-01-2018, 11:50 door Anoniem
Door Anoniem:
Zou er een correlatie zijn met de hoeveelheid malware waarmee Microsoft wordt geconfronteerd? (In tegenstelling tot Apple en Linux).
Ik denk het niet. Het zal vooral te maken hebben met het marktaandeel, wat voor macOS ergens rond de 8% schommelt. Dat is voor criminelen een minder interessant markt dan Windows. iOS heeft een gesloten App Store, vandaar dat je daar vrijwel geen malware ziet. Hetzelfde geldt/gold voor Windows Phone, waar ook zo goed als geen malware voor bestond.

Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.

En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
02-01-2018, 12:51 door Anoniem
Ik zou willen adviseren - voordat je reageert - om alles te lezen. De exploit werkt namelijk NIET op de allerlaatste versie van MacOS, dus 10.13.2.

Niet out-of-the-box, wel als je deze verder aanpast; v10.13.2 is dus wel kwetsbaar. Verder klopt de bewering geheel; je bent overgeleverd aan de grillen van leveranciers bij closed source software. Waarbij ze dit goed, danwel slecht, kunnen oppakken.
02-01-2018, 13:33 door karma4
Door Anoniem: [
Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.

En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
Typisch os bashing wat je doet.
Als je meegemaakt Hoe Microsoft door IBM in de voorkeurspositie geholpen is da zou je het niet vragen.
Voor os/2 was er geen software beschikbaar en die kwam ook niet wegens de licentie lockin.
De markt ging voor superieure software op het open platvorm dat Windows heette. Het is niet het os code dat bepaalt of iets open of gesloten eco systeem is maar de vrijheid om applicaties er op te zetten. Daarbij komt de garantie van jarenlange continuïteit. Iets wat je elders niet vind of je moet mainframes ibm kennen.
02-01-2018, 14:04 door -karma4
Door karma4:
Door Anoniem: [
Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.

En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
Typisch os bashing wat je doet.

Niet over OS-bashing lullen karma4-vogel! Microsoft is in talloze rechtzaken verwikkeld geweest om haar discutable gedrag en marketing. Veel maar dan haar concurrenten dat ooit zijn geweest dus de aandacht af proberen te leiden met referenties naar anderen is niet erg zinvol.

https://en.wikipedia.org/wiki/Microsoft_litigation
02-01-2018, 14:24 door Anoniem
Door Anoniem:
Ik zou willen adviseren - voordat je reageert - om alles te lezen.
De exploit werkt namelijk NIET op de allerlaatste versie van MacOS, dus 10.13.2.
...
Gebruik a.u.b. je eigen advies, want 10.13.2 is wel degelijk kwetsbaar.
02-01-2018, 15:31 door Anoniem
Door The FOSS:
Door karma4:
Door Anoniem: [
Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.

En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
Typisch os bashing wat je doet.

Niet over OS-bashing lullen karma4-vogel! Microsoft is in talloze rechtzaken verwikkeld geweest om haar discutable gedrag en marketing. Veel maar dan haar concurrenten dat ooit zijn geweest dus de aandacht af proberen te leiden met referenties naar anderen is niet erg zinvol.

https://en.wikipedia.org/wiki/Microsoft_litigation


Zo FOSS, het nieuwe jaar begint goed! Meteen lekker hakken, in de eerste post meteen de discussie de nutteloze kant opsturen richting closed source vs. open source (die "discussie" woedt al jaren en is wordt vooral vormgegeven door zoveel mogelijk geschreeuw over en weer), de tweede post trek je onnodig Microsoft erbij, de derde posting gaat de ad hominem kant op en de vierde gaat ook lekker. Wat dacht je ervan om dit soort non-discussies achterwege te laten, een keer diep adem te halen, alles van je af te laten glijden en 2018 gewoon lekker relaxed te beginnen? Komt alles vast goed.

Fijn 2018 iedereen, dat het maar een veilig jaar mag worden met interessante ontwikkelingen.
04-01-2018, 21:48 door [Account Verwijderd] - Bijgewerkt: 04-01-2018, 21:59
Het bedrijf apple is al zo goed als dood maar laat ik toch maar even reageren voor de grap:

//zet kak-stemmetje op:

Oh ik ben toch zoo veilig met mijn macbook: want ik betaal heel veel en kijk alu case, mooi he?

//kak-stemmetje off

rot toch op rand debiel

p.s. ook ik ben zo een saaie noob admin die nog nooit een droevige apple fan aan de lijn heeft gehad die een beveiliging gerelateerd probleem had. Tegenwoordig hang ik gewoon op... sorry hoor DOEI,

koop/investeer in echte hardware/software/service!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.