MacOS High Sierra Security Bug Toestaan ​​van root-login zonder wachtwoord, Here's a Fix

Er is een aanzienlijk beveiligingsrisico ontdekt met macOS High Sierra, waardoor iedereen zich zonder wachtwoord kan aanmelden bij een Mac met volledige rootbeheermogelijkheden.

Dit is een urgent beveiligingsprobleem, en hoewel er een software-update zou moeten verschijnen om het probleem snel op te lossen, zal dit artikel gedetailleerd beschrijven hoe u uw Mac kunt beschermen tegen dit beveiligingslek.

Belangrijke update: Apple heeft Security Update 2017-001 voor macOS High Sierra uitgebracht om de rootinlog-bug te verhelpen en deze nu te downloaden. Als u MacOS High Sierra gebruikt, downloadt u de update zo snel mogelijk naar uw Mac.

Wat is de rootinlog, en waarom maakt het uit?

Voor een snelle achtergrond kan het beveiligingslek iemand toestaan ​​om 'root' in te voeren als een gebruikersnaam en dan onmiddellijk als root in te loggen op de Mac, zonder wachtwoord. De wachtwoordloze rootaanmelding kan direct met een fysieke machine gebeuren op het algemene inlogscherm van de gebruiker dat wordt weergegeven bij het opstarten, vanuit de paneel Systeemvoorkeuren die meestal verificatie vereisen, of zelfs via VNC en Remote Login als deze laatste twee externe toegangsfuncties zijn ingeschakeld. Elk van deze scenario's geeft dan volledige toegang tot de MacOS High Sierra-machine zonder ooit een wachtwoord te gebruiken.

Een rootgebruikersaccount biedt het hoogste niveau van systeemtoegang mogelijk op een MacOS of een op Unix gebaseerd besturingssysteem, root verleent alle mogelijkheden van beheerdersgebruikersaccounts op de machine, naast onbeperkte toegang tot alle componenten of bestanden op systeemniveau.

Mac-gebruikers die door de beveiligingsbug worden getroffen, zijn onder andere iedereen met MacOS High Sierra 10.13, 10.13.1 of 10.13.2 bèta's die nog niet eerder het root-account hebben ingeschakeld of eerder een rootgebruikersaccountwachtwoord op de Mac hebben gewijzigd, wat de overgrote meerderheid is van Mac-gebruikers die High Sierra gebruiken.

Klinkt slecht, toch? Dat is zo, maar er is een vrij eenvoudige oplossing om te voorkomen dat deze beveiligingsbug een probleem vormt. Het enige dat u hoeft te doen is een root-wachtwoord instellen op de getroffen Mac.

Hoe root-login zonder wachtwoord te voorkomen in MacOS High Sierra

Er zijn twee manieren om rootaanmelding te voorkomen zonder een wachtwoord op een MacOS High Sierra-machine, u kunt Directory Utility of de opdrachtregel gebruiken. We zullen beide behandelen. Directory Utility is misschien gemakkelijker voor de meeste gebruikers, omdat het volledig wordt bereikt via de grafische interface op de Mac, terwijl de opdrachtregelmethode op tekst is gebaseerd en in het algemeen als complexer wordt beschouwd.

Directory-hulpprogramma gebruiken om root te vergrendelen

  1. Open Spotlight op de Mac door Command + spatiebalk te gebruiken (of klik op het Spotlight-pictogram in de rechterbovenhoek van de menubalk) en typ "Directory Utility" en druk op Return om de app te starten
  2. Klik op het kleine hangslotsymbool in de hoek en authenticeer met de login van een beheerdersaccount
  3. Ga nu naar het menu "Bewerken" en kies "Change Root Password ..." ***
  4. Voer een wachtwoord voor de root-gebruikersaccount in en bevestig dit en klik vervolgens op "OK"
  5. Sluit uit Directory Utility

*** Als de rootgebruikersaccount nog niet is ingeschakeld, kiest u "Schakel rootgebruiker in" en stelt u vervolgens een wachtwoord in.

In feite is het enige wat u doet het toewijzen van een wachtwoord aan het root-account, wat betekent dat het inloggen met root dan een wachtwoord vereist zoals het hoort. Als je op deze manier geen wachtwoord toewijst om op deze manier te rooten, kan een macOS High Sierra-machine een rootaanmelding zonder wachtwoord helemaal accepteren.

Gebruik de opdrachtregel om een ​​hoofdwachtwoord toe te wijzen

Gebruikers die liever de opdrachtregel in macOS gebruiken, kunnen ook een rootwachtwoord instellen of toewijzen met sudo en de reguliere oude passwd-opdracht.

  1. Open de Terminal-applicatie, te vinden in / Applications / Utilities /
  2. Typ de volgende syntaxis exact in de terminal en druk op de return-toets:
  3. sudo passwd root

  4. Voer je admin-wachtwoord in om te verifiëren en op return te drukken
  5. Voer bij "Nieuw wachtwoord" een wachtwoord in dat u niet zult vergeten, druk op Return en bevestig het

Zorg ervoor dat je het root-wachtwoord instelt op iets dat je onthoudt, of misschien zelfs overeenkomt met je admin-wachtwoord.

Hoe weet ik of mijn Mac wordt beïnvloed door de wachtwoordloze rootaanmelding?

Het lijkt alleen dat MacOS High Sierra-machines worden beïnvloed door deze beveiligingsbug. De gemakkelijkste manier om te controleren of uw Mac kwetsbaar is voor de rootinlog, is proberen en aanmelden als root, zonder een wachtwoord.

U kunt dit doen via het algemene opstartscherm van de boot of via elk paneel voor beheerdersverificatie (door op het hangslotsymbool te klikken) beschikbaar in Systeemvoorkeuren zoals FileVault of Gebruikers en groepen.

Plaats gewoon 'root' als gebruiker, voer geen wachtwoord in en klik tweemaal op 'Ontgrendelen' - als de bug invloed op u heeft, dan bent u ingelogd als root of verleende root-rechten. Je moet tweemaal op "unlock" klikken, de eerste keer dat je op de "unlock" -knop klikt, maakt het de root-account aan met een leeg wachtwoord, en de tweede keer dat je op "unlock" klikt logt het in, wat volledige root-toegang mogelijk maakt.

De bug, die in feite een 0day-root-exploit is, werd voor het eerst gemeld aan het publiek op Twitter door @lemiorhan en heeft snel stoom- en media-aandacht gekregen vanwege de potentiële ernst van de impact. Apple is zich kennelijk bewust van het probleem en werkt aan een software-update om het probleem op te lossen.

Heeft de rootinlog fout invloed op macOS Sierra, Mac OS X El Capitan of eerder?

De wachtwoordloze root-aanmeldingsbug lijkt alleen maar invloed te hebben op macOS High Sierra 10.13.x en lijkt geen invloed te hebben op eerdere versies van macOS en Mac OS X systeemsoftware.

Als u eerder root via de opdrachtregel of door Directory Utility had ingeschakeld of het rootwachtwoord op een ander tijdstip had gewijzigd, werkte de bug niet op zo'n MacOS High Sierra-machine.

Vergeet niet dat Apple op de hoogte is van dit probleem en in de nabije toekomst een beveiligingsupdate zal uitbrengen om de bug aan te pakken. Doe jezelf ondertussen een plezier en stel het root-wachtwoord in of wijzig het op Macs met macOS High Sierra om hen te beschermen tegen ongeautoriseerde volledige toegang tot de machine en alle bijbehorende gegevens en inhoud.