Hoewel Apple een behoorlijk goede naam heeft op het gebied van het zo veilig mogelijk maken van de software wil er ook in Cupertino natuurlijk nog wel eens wat doorheen glippen. Daarbij gaat het dit keer niet om een obscuur beveiligingsgat, maar iemand blijkt de deur in macOS High Sierra (10.13) wagenwijd open hebben gelaten.

Want dit keer blijkt het root-account niet goed beveiligd, en dat heeft nog meer bevoegdheden dan het beheerders-account. Want vanuit een root-account kan je bijvoorbeeld zelfs de bestanden van andere gebruikers bekijken, en alles wat je wilt aanpassen.
https://twitter.com/lemiorhan/status/935581020774117381

Zoals je in de tweets hierboven kan zien is 'root' invullen in Systeemvoorkeuren > Gebruikers en groepen voldoende, daarna hoef je alleen maar een paar keer op de knop rechtsonder te klikken om het root-account te activeren. Dat root-account heeft dan geen wachtwoord, en is dus makkelijk door kwaadwillenden te misbruiken.

Omdat dit ook vanuit een Gast-account gedaan kan worden zit het veiligheidsrisico dan ook daar. De oplossing voor dit moment is dan ook om de mogelijkheid om als Gastgebruiker in te loggen helemaal uit te zetten. Dat doe je ook in Systeemvoorkeuren > Gebruikers en groepen, waarna je daar op Gastgebruiker moet klikken.



Als je dat goed doet dan staat er geen vinkje meer in het vakje dat hierboven rood omlijnd is, en zie je in de linkerkolom onder Gastgebruiker het woordje "Uit" staan. Dit is sowieso een instelling die we aanraden, zet die alleen maar aan als je inderdaad iemand (tijdelijk) toegang tot jouw Mac wilt geven.

Root een sterk wachtwoord geven

Apple heeft al aangegeven dat ze binnenkort met een update zullen komen die dit probleem verhelpt. Maar wil je ondertussen jouw Mac met High Sierra zo veilig mogelijk maken, dan is het een goed idee om het root-account zelf te activeren, maar dan met een sterk wachtwoord. Let wel op dat je dit wachtwoord niet vergeet!

Om een wachtwoord voor de root-gebruiker aan te maken moet je weer in Systeemvoorkeuren > Gebruikers en groepen zijn. Nadat je het slotje linksonder hebt ontgrendeld klik je op Inlogopties, net daarboven.



Rechts daarvan vind je de optie Netwerkaccountserver, klik op het knopje met "Verbind..." daarnaast. Dan schuift er vanaf de bovenkant een nieuw venster naar binnen, met links onder de optie "Open Adreslijstprogramma..." waar je dan op klikt.

Als het venster daarvan opent ontgrendel je dat weer linksonder, waarna je helemaal linksboven in het Menu "Wijzig" kiest voor :"Schakel rootgebruiker in". Het enige wat je dan nog moet doen is jouw veilige en sterke wachtwoord daar twee keer invullen, en je bent veilig.


(klik op de afbeeldingen voor een grotere versie)



met dank aan forumlid 'rt', die dit als eerste op ons forum meldde

There we go again. Let's lynch the messenger:

I fully support @Apple suing you for this. Learn how to disclose security bugs before you call yourself a "Software Craftsman".

 

De volgende gaat op de zwarte markt.

Is ook wel een beetje dom van die gast. Als hij hiermee naar Apple was gestapt, had hij wellicht leuk kunnen cashen dmv apple's bug bounty program.

En aan de andere kant: het is misschien ook wel goed dat Apple op deze manier publiekelijk voor (weggefilterd) wordt gezet. Twee van dit soort enorm slordige fouten in korte tijd (laatst ook met de Disk Utility password/hint bug) zorgt er hopelijk voor dat ze de kwaliteit van de software beter gaan testen voor release. Want die werd er de laatste tijd al niet beter op.

Backspin om 23:27, 28-11-2017
Is ook wel een beetje dom van die gast. Als hij hiermee naar Apple was gestapt, had hij wellicht leuk kunnen cashen dmv apple's bug bounty program.

't is een gewone coder, die geen weet heeft van sec procedures. En overschat die bounties niet. Recent is nog iemand die zich inschreef bij een populaire drone maker, bedreigd ipv betaald.

En aan de andere kant: het is misschien ook wel goed dat Apple op deze manier publiekelijk voor (weggefilterd) wordt gezet. Twee van dit soort enorm slordige fouten in korte tijd (laatst ook met de Disk Utility password/hint bug) zorgt er hopelijk voor dat ze de kwaliteit van de software beter gaan testen voor release. Want die werd er de laatste tijd al niet beter op.

Derflounder to the rescue:

https://derflounder.wordpress.com/2017/11/28/blocking-logins-to-the-root-account-on-macos-high-sierra/

Sec channels staan op barsten...

Niet te geloven, wat een blunder zeg! Shame on you Apple.. Dank voor het melden! Gelukkig slechts een Mac hier op HS, die is bij deze gefixt.

Deze bug stond al veertien dagen op Apple's eigen forum:

https://forums.developer.apple.com/thread/79235

Erger, er was al een week een radr voor.

Mogelijk gerelateerd aan dit:

http://seclists.org/oss-sec/2017/q4/61

 

@boiing, toch weer een argument voor FileVault erbij:

The upshot of all of this: as long as someone has filevault turned on, their files are most likely safe from this exploit as long as their Mac is turned off before an attacker gets hold of it. Locking a screen with a password also appeared to protect a computer while it's unattended.*

 

Vreemd dat Apple hier nog geen hotfix voor heeft uitgebracht...

Ook een artikel in de Volkskrant hierover vandaag :

https://www.volkskrant.nl/economie/groot-lek-in-apple-s-besturingssysteem-is-van-alarmerende-simpelheid~a4542172/

@Spooter: ze hebben wel gereageerd en ook een tijdelijke fix gegeven.
De meeste van die pers berichten hebben een update. Kijk zelf maar.

Hier eentje voor je:
Update: An Apple spokesperson told MacRumors that a fix is in the works:
"We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the 'Change the root password' section."

En het lijkt me ook wel belangrijk dat ze goed naar deze zaak kijken, en niet door de paniek -te- snel met een update te komen, die misschien weer andere problemen introduceert. Want het zal wel niet zo simpel zijn om enkel op één plek wat nullen in enen te veranderen, vv.

en dan stel je dus een root wachtwoord in.
vervolgens schakel je de root user weer uit, want die heb je toch niet nodig.
en dan ben je weer terug bij af.

je moet dus wèl een wachtwoord instellen, maar daarna root niet uitschakelen.

je kunt ook èn gastgebruiker, èn root uitschakelen, èn geen andere gebruiker aanmaken.
want dan krijg je niet de keuze om een andere gebruiker te kiezen op het inlogscherm.

maar het is wel een gat, zo groot als morgen de gehele dag

Backspin om 23:27, 28-11-2017
Is ook wel een beetje dom van die gast. Als hij hiermee naar Apple was gestapt, had hij wellicht leuk kunnen cashen dmv apple's bug bounty program.

En aan de andere kant: het is misschien ook wel goed dat Apple op deze manier publiekelijk voor (weggefilterd) wordt gezet. Twee van dit soort enorm slordige fouten in korte tijd (laatst ook met de Disk Utility password/hint bug) zorgt er hopelijk voor dat ze de kwaliteit van de software beter gaan testen voor release. Want die werd er de laatste tijd al niet beter op.

Alsof de test-specialisten dit is aan te rekenen gaat ons niets aan. Misschien door het agile team (scrum/devops/xp) een achteraf onjuiste inschatting gemaakt, of test specialisten/security testers overruled? Software wordt complexer en niet alles zal (zeer) zwaar getest worden.... wie weet verzaakt een developer om unit tests te schrijven...

@Niels75: je hebt helemaal gelijk! We weten niets van wat er daar gebeurd. Pure speculatie o.z.
Wie weet was 'de vloer' nog gewoon bezig en is het onder hun handen vandaan gegist voordat alles klaar was voor publicatie.

Kan je El Capitan nog herinneren: van onder op zou er geroepen zijn om eens te concentreren op de waslijst van bugs i.p.v. nieuwe features toe voegen.

Zou heel goed kunnen, je reputatie als programmeur gaat er wel aan met al die bugs.
Weet nog steeds niet of dat een publiciteits stunt van Apple was. Kan me zo gauw geen Apple klokkenluiders herinneren.

rt om 13:08, 29-11-2017
https://support.apple.com/en-us/HT204012

Ook verkrijgbaar in het Nederlands.
https://support.apple.com/nl-nl/HT204012

fred44nl om 13:10, 29-11-2017
Je kunt ook èn gastgebruiker, èn root uitschakelen, èn geen andere gebruiker aanmaken.
Want dan krijg je niet de keuze om een andere gebruiker te kiezen op het inlogscherm.

De gastgebruiker kan alleen gebruik maken van Safari, en kan verder niks, mits je FV aan hebt staan. En iedereen die beveiliging op orde heeft, heeft FV ingeschakeld (is ook de standaard, tegenwoordig).
Ook meerder gebruikers is geen punt, zolang het inlogvenster op de -standaard- instelling staat 'Lijst met gebruikers'. Want je kunt dan nergens het woord 'root' invullen, en moet kun je enkel met het juiste ww van gewenste gebruiker binnenkomen.
Dus maak het nou niet nodeloos ingewikkeld.

je moet dus wèl een wachtwoord instellen, maar daarna root niet uitschakelen.

Dat is het punt.

En daar gaat "rootless'. Zowat alle High Sierra gebruikers zijn nu verplicht root in te schakelen.

Speculaties dat andere dingen helpen, zijn alleen speculaties.  Niemand weet het precies.

Je kan ook de shell instellen op "false", maar of dat geen problemen oplevert later, is niet zeker. Waarschijnlijk niet.

@Niels75: je hebt helemaal gelijk! We weten niets van wat er daar gebeurd. Pure speculatie o.z.

Er zijn wel degelijk mensen bij betrokken die voor Apple werken. Maar die zijn of pseudoniem aanwezig, werken als outside consultant, of spreken in bedekte termen.

En ook die zitten voor aap. Zeker omdat dit reeds in Apple's database zat.

En, rt, er is geen bug bounty voor OSX. Alleen voor iOS. Zegt dat iets?  

Vertrouw niks van wat je op blogs leest. Ik ben er al een paar tegengekomen die foute info geven. De link naar derflounder is trustworthy. Hij zit midden in dit herfststormpje.

De gastgebruiker kan alleen gebruik maken van Safari, en kan verder niks, mits je FV aan hebt staan. En iedereen die beveiliging op orde heeft, heeft FV ingeschakeld (is ook de standaard, tegenwoordig).
Ook meerder gebruikers is geen punt, zolang het inlogvenster op de -standaard- instelling staat 'Lijst met gebruikers'. Want je kunt dan nergens het woord 'root' invullen, en moet kun je enkel met het juiste ww van gewenste gebruiker binnenkomen.
Dus maak het nou niet nodeloos ingewikkeld.

Knap hoor. Jij weet dat allemaal terwijl de betrokkenen nog druk bezig zijn dat uit te testen.

Screen sharing is een mogelijkheid om het remote te doen. Dat is bevestigd. ARD zou ook kunnen, volgens ten minste 1 tester.

Maar telkens moet de voorinstelling van die machine vergeleken worden met een maagdelijk installatie.

Zomaar wat gaan roepen is dus niet erg slim.

Reputabele write-up van Objective See:

https://objective-see.com/blog/blog_0x24.html

Lijstje van kwetsbare accounts op High Sierra:

_amavisd                *
_analyticsd             *
_appleevents            *
_applepay               *
_appowner               *
_appserver              *
_appstore               *
_ard                    *
_assetcache             *
_astris                 *
_atsserver              *
_avbdeviced             *
_calendar               *
_captiveagent           *
_ces                    *
_clamav                 *
_cmiodalassistants      *
_coreaudiod             *
_coremediaiod           *
_ctkd                   *
_cvmsroot               *
_cvs                    *
_cyrus                  *
_datadetectors          *
_devdocs                *
_devicemgr              *
_displaypolicyd         *
_distnote               *
_dovecot                *
_dovenull               *
_dpaudio                *
_eppc                   *
_findmydevice           *
_fpsd                   *
_ftp                    *
_gamecontrollerd        *
_geod                   *
_hidd                   *
_iconservices           *
_installassistant       *
_installer              *
_jabber                 *
_kadmin_admin           *
_kadmin_changepw        *
_krb_anonymous          *
_krb_changepw           *
_krb_kadmin             *
_krb_kerberos           *
_krb_krbtgt             *
_krbfast                *
_krbtgt                 *
_launchservicesd        *
_lda                    *
_locationd              *
_lp                     *
_mailman                *
_mcxalr                 *
_mdnsresponder          *
_mobileasset            *
_mysql                  *
_netbios                *
_netstatistics          *
_networkd               *
_nsurlsessiond          *
_nsurlstoraged          *
_ondemand               *
_postfix                *
_postgres               *
_qtss                   *
_sandbox                *
_screensaver            *
_scsd                   *
_securityagent          *
_serialnumberd          *
_softwareupdate         *
_spotlight              *
_sshd                   *
_svn                    *
_taskgated              *
_teamsserver            *
_timed                  *
_timezone               *
_tokend                 *
_trustevaluationagent   *
_unknown                *
_update_sharing         *
_usbmuxd                *
_uucp                   *
_warmd                  *
_webauthserver          *
_windowserver           *
_www                    *
_wwwproxy               *
_xserverdocs            *
daemon                  *
nobody                  *
root                    *


mmmm. Tot nu toe...

en d'r is een officiele fix:

https://www.macrumors.com/2017/11/29/apple-fixes-root-password-bug-security-update/

Gek genoeg krijg ik het op mijn computer niet voor elkaar. Ik kan blijven proberen te unlocken met User Name root maar het venstertje blijf wiebelen en ik kom dan niet verder.

Ik moet er dan bij vertellen dat ik op mijn systeem Gatekeeper heb uitgeschakeld (in terminal: sudo spctl --master-disable). Het lijkt er dan op dan mijn computer met uitgeschakelde Gatekeeper veiliger is  

Maar ik ben ook maar een leek, dus kan het zijn dat ik het sowieso al helemaal fout doe.

cyrano om 16:46, 29-11-2017
Knap hoor. Jij weet dat allemaal terwijl de betrokkenen nog druk bezig zijn dat uit te testen.

Niks knap aan. Je moet als gebruiker 'root' kunnen inloggen, en dat kan niet in de gevallen die ik noemde.

Maar goed, de storm kan weer gaan liggen, want er staat een security update klaar in de App Store.

Men heeft vandaag duidelijk zitten zweten in Cupertino en ik stel mij zo voor dat er in Redmond is gegniffeld. Zo is ook Apple weer in perspectief.
Nu nog zien dat iedereen die security update uitvoert.