Questo articolo descrive un bug in cui l'inserimento di root quando viene richiesto di sbloccare consente a qualsiasi utente di sbloccare le preferenze di sistema. Avverte che:

Non è necessario farlo da soli per verificarlo. In questo modo si crea un account "root" che altri potrebbero essere in grado di sfruttare se non lo si disabilita.

L'articolo non descrive cosa fare se un ingegnere troppo desideroso ha riprodotto il problema e ora deve rimuovere o disabilitare l'account di root.

In che modo questo account può essere disabilitato o rimosso in modo sicuro?

Questa pagina Apple descrive come disabilitare l'account ma ciò non protegge dall'errore perché l'errore può semplicemente riattivare l'account. Funzionerà per ripristinare il sistema al suo stato normale con root disabilitato una volta corretto il bug di sicurezza.

Aggiornamento 29/11/2017 16:43 UTC

Consulta Informazioni sul contenuto di sicurezza dell'aggiornamento di sicurezza 2017-001 per aggiornare macOS High Sierra per proteggere dall'esclusione dell'autenticazione dell'amministratore senza fornire la password dell'amministratore.

Patch disponibile, fai clic qui o aggiorna semplicemente sulla macchina

È interessante notare che non ci sono patch per la versione beta e per gli sviluppatori di OSX, per quanto ne so. Aggiornerò questa risposta non appena ne avrò sentito parlare.

Scarica la patch sopra. Lasciando il resto del post per la storia :-)

Il CVE è CVE-2017-13872 e il NIST aggiornerà l'analisi nel prossimo futuro.

Risposta originale, pertinente senza patch

Prima di tutto, non disabilitare l'account root tramite la GUI, avendo un account root "disabilitato" è la causa del problema.

Devi abilitare l'utente root e dargli una password. Questo è importante , poiché la vulnerabilità è disponibile anche in remoto, tramite VNC e Apple Remote Desktop (solo per citarne alcuni) (un'altra fonte) .

Esistono due modi di base per farlo; GUI e terminale.

Prima di tutto, GUI

Per abilitare l'account root, vai su "Directory Utility", ovvero cmd + spazio e cerca. Premi il lucchetto per sbloccare la "modalità amministratore", quindi abilita l'account root tramite modifica -> "Abilita utente root".

Dovrebbe richiedere una password di root, per ora inserisci la tua normale password (in modo da non dimenticarla). Se non richiede una password, usa Modifica -> "Cambia password di root ..." sopra.

terminale

Se sei più di una persona terminale, utilizza quanto segue:

sudo passwd -u root
## Enter passwords as needed.... 
## (if you are using the terminal you should know what you are doing...)

Questo è abbastanza con un terminale, il problema con la GUI è che dobbiamo abilitare l'account a impostare una password, cosa che non dobbiamo fare con il terminale.

Gli appunti

Anche se hai impostato una password per l'account di root, il tuo computer diventerà vulnerabile se disabiliti l'account di root. L'azione di disabilitare l'account di root sembra essere il colpevole. Quindi ripeto, l'utente root dovrebbe essere abilitato e avere una password se usa la GUI, mentre tramite il terminale solo usare "passwd" è "ok" (sebbene questo stato non sia raggiungibile solo attraverso la GUI). Sembra che "Disabilita utente root" in "Directory Utility" rimuova la password per l'account root, in un certo senso dandoti un account root senza password che è vulnerabile.

Sembra che provare ad accedere con "root" in una finestra di login del sistema abiliti l'account root se è stato disabilitato in precedenza. Vale a dire con un account root disabilitato è necessario inserire due volte root in una finestra di login di sistema per ottenere l'accesso root e (secondo i miei test) al primo tentativo l'account root è abilitato (senza password se non impostato tramite passwd), e al secondo tentativo si passa attraverso.

Sembra che il problema sia stato scoperto almeno dal 13-11-2017 (13 novembre), quando è menzionato nel forum di supporto Apple .

Per favore, dimostrami che mi sbaglio, apprezzerei davvero essere in questo momento.

Aggiornamento spaventoso

Dopo aver abilitato l'account root senza password (cioè attraverso il pannello delle preferenze di sistema e facendo clic su un "blocco" e immettendo "root" con una password vuota una, due o tre volte (il numero di volte dipende dallo stato iniziale)) è possibile accedere a il computer dalla schermata di accesso principale utilizzando "root" e una password vuota (!). SSH / Telnet non sembra funzionare, ma Apple Remote Desktop, Screen Sharing e VNC sono vulnerabili.

Pertanto, per gli amministratori di reti potrebbe essere interessante rilasciare temporaneamente i pacchetti alle seguenti porte:

• 5900-5905 (ish, per essere ninja sicuri) per ottenere le porte VNC più comuni. VNC inizia per impostazione predefinita a 5900 ed enumera verso l'alto se si utilizzano più display (non comune però). Anche Screen Sharing e Apple Remote Desktop sembrano usare queste porte ( elenco delle porte del software Apple )
• 3283 e 5988 per Apple Remote Desktop ( elenco delle porte del software Apple )

Letture addizionali:

Un coraggioso tentativo di fare riferimento ad altre fonti che affrontano il problema. Modifica e aggiorna la mia risposta se ne hai di più.

• Articolo di Hackernews
• Articolo di Arstechnica
• Articolo Techcrunch
• Obiettivo-Vedi il blog che spiega l'errore (non ho aggiornato questa risposta per abbinare pienamente la spiegazione tecnica, lo farò stasera, ma è abbastanza vicino per un laico)
• Pagina MITER per CVE
• Voce NIST per CVE
• La voce originale del 13-11-2017 nei forum degli sviluppatori Apple (dal 30-11-2017 rimossa da Apple)
• Collegamento della cache di Google alla voce originale nei forum degli sviluppatori di Apple (dal 01-12-2017 rimosso dalla cache di Google)
• Screenshot di forumpost sopra di chethan177:

Se non riesci a installare la patch ufficiale o non vuoi fidarti che abbia funzionato, allora

Non si desidera disabilitare l'utente root solo su High Sierra.

Per proteggere il tuo Mac, abilita root con una password sicura lunga.

Non lo cambieremo sul lavoro fino a quando non verrà rilasciata la prossima versione completa per macOS che probabilmente sarà la 10.13.2

A meno che tu non agisca, l'utente root è disattivato e questo è un male se il tuo Mac non è corretto correttamente.

Se lo desideri, opzionalmente indurisci la shell fino a quando Apple non avrà una patch o correzione ufficiale.

Ecco un ottimo script per impostare una password di root casuale e modificare / impostare la shell di root in /usr/bin/falsemodo che, anche se la password è indovinata, la shell di root non riesca ad accedere:

• https://github.com/rtrouton/rtrouton_scripts/blob/master/rtrouton_scripts/block_root_account_login/block_root_account_login.sh

Fondamentalmente fa tre cose chiave:

rootpassword=$(openssl rand -base64 32)
/usr/bin/dscl . -passwd /Users/root "$rootpassword"
/usr/bin/dscl . -create /Users/root UserShell /usr/bin/false

La creazione di UserShell si verifica se la shell non è impostata e lo script completo controlla la presenza di una shell esistente ed -changeè invece di sostituirla -create.

Come proteggermi dalla vulnerabilità di root in macOS High Sierra?

Esegui un aggiornamento software dall'App Store. Apple ha rilasciato un aggiornamento di sicurezza questa mattina.

• Informazioni sul contenuto di sicurezza dell'aggiornamento della sicurezza 2017-001

• Aggiornamenti di sicurezza di Apple

Devi accedere come utente root e cambiare la password in qualcosa di forte. Se in realtà crea un nuovo account (anziché abilitare l'account root già esistente) è necessario prima eliminare tale account.

Apple ha appena rilasciato un aggiornamento per risolvere il problema.

Aggiornamento della sicurezza 2017-001 https://support.apple.com/en-us/HT208315

Inoltre, per impedire l'accesso non autorizzato ai computer Mac, è necessario abilitare l'account utente root e impostare una password specifica per l'utente root.

https://support.apple.com/en-ph/HT204012

Se il tuo account utente root è già attivo, assicurati di cambiare la password solo per assicurarti che la vulnerabilità della password vuota non sia impostata.

No! Non rimuovere l'account di root!

Innanzitutto, rootè stato presente in tutte le versioni di macOS, Mac OS X, Mac OS e persino nelle versioni antiche del sistema operativo. macOS non ha creato di recente questo account a causa di una vulnerabilità. Lo ha semplicemente esposto per caso.

Rimozione rootsarebbe una pessima idea e lascia che ti dica perché.

Paralizzerebbe completamente macOS, dal momento che non ci sarebbero account con privilegi sufficienti per eseguire servizi critici (come WindowServer, che esegue la GUI). Esistono misure di sicurezza per impedire la rimozione di utenti senza informazioni roote non si dovrebbe tentare di ignorarli.

Scopriamo chi esegue i primissimi processi nel sistema, i processi più importanti (utilizzando Activity Monitor):

Ehi, è di rootnuovo il nostro quartiere amichevole ! Il primo processo (con PID 0) è attualmente controllato dal kernel e probabilmente avrà comunque le autorizzazioni complete, ma il suo processo figlio launchd(responsabile dell'avvio di servizi come la finestra di accesso e il server di finestre stesso) viene avviato con i privilegi di root. Se rootnon esistesse, questo processo non sarebbe mai stato avviato o non avrebbe autorizzazioni.

Protezione dell'account di root

Altre risposte hanno fornito una patch rilasciata da Apple che dovrebbe risolvere il problema. Tuttavia, se non sei in grado o non sei disposto a installarlo ...

Funziona perché macOS ricodifica la password inserita come "aggiornamento" perché l'account disabilitato (root) è stato erroneamente rilevato come avente un vecchio hash. Dirà comunque che non è corretto, ma la prossima volta gli hash corrisponderanno (perché macOS l'ha cambiato) e ti farà entrare.

Per proteggere root, dovrai usare Utility Directory. Esistono due modi per accedervi:

1. Usa Spotlight.
2. Usa il Finder. Apri Finder, premi Comando + Maiusc + G (o seleziona, entra /System/Library/CoreServices/Applications/e premi Vai (o premi Invio). Quindi apri Utility Directory da lì.

Dopo aver aperto Directory Utility, dovrai farlo

Dopo averlo fatto, seleziona Change Root Passwordo Enable Root Userdal menu Modifica. Lo mostro Change Root Passwordpoiché il mio account di root è già abilitato con una password complessa.

Scegli una password e ora la password vuota non funzionerà più.

Congratulazioni! Non sei più vulnerabile all'hack root.