skip to main | skip to sidebar
36 commenti

Falla epica in macOS High Sierra: accesso locale e remoto senza password. Pronta la patch (doppia)

Ultimo aggiornamento: 2017/12/01 11:35.

La falla di sicurezza scoperta in macOS High Sierra da Lemi Orhan Ergin è talmente grave che molti utenti fanno fatica a credere che sia reale. Lo è. Su macOS si può diventare root senza digitare una password [aggiornamento: Apple ha rilasciato la correzione].

Traduzione: la versione più recente del sistema operativo per computer di Apple consente a un aggressore di ottenere diritti di amministratore (root), quindi di essere padrone assoluto del computer, senza conoscerne la password. L’aggressore può quindi installare programmi ostili, cancellare dati, disabilitare la crittografia del disco (FileVault), cambiare le password degli altri utenti, riconfigurare il sistema operativo e altro ancora.

In alcuni casi, questa vulnerabilità è sfruttabile anche via Internet, senza neanche dover accedere fisicamente al computer. Per ora esistono soltanto dei rattoppi temporanei. La falla non è presente nelle versioni precedenti di macOS.

In estrema sintesi, per l’utente Mac comune le raccomandazioni sono queste:

  • se non siete ancora passati a High Sierra, aspettate a farlo;
  • se usate High Sierra, non lasciate incustodito il vostro Mac sbloccato, disabilitate la manutenzione remota e installate subito l’aggiornamento correttivo quando Apple lo rilascerà [aggiornamento: è stato rilasciato].

Gli utenti più esperti possono inoltre disabilitare l’utente Ospite e creare un account root con password robusta per risolvere temporaneamente il problema.

---

La falla di base è questa: un aggressore che ha accesso fisico al Mac incustodito seleziona il login dell’Utente ospite, va nelle Preferenze di Sistema, clicca su Utenti e gruppi e clicca sul lucchetto per abilitare le modifiche. A questo punto gli viene chiesto di immettere un nome utente e una password di amministratore: normalmente, se l’aggressore non conosce queste informazioni, non può fare nulla e il Mac è protetto.

Ma nella versione attuale di macOS High Sierra (10.13 e 10.13.1), se l’aggressore a questo punto digita root come nome utente e non immette una password ma semplicemente posiziona il cursore nella casella della password, gli basta cliccare su Sblocca ripetutamente (a me sono bastati due tentativi) e ottiene pieno accesso alle impostazioni del Mac.

Da questo momento in poi, l’aggressore ha un account onnipotente sul computer della vittima. Se il computer della vittima ha più di un account (per esempio perché ha lasciato disponibile l’utente Ospite), l’aggressore può rientrare anche dopo un riavvio, e anche a computer bloccato sulla schermata di login: gli basta digitare root senza password per entrare e fare quello che gli pare. Ho verificato personalmente.

Oops.


Questo è un video che dimostra la vulnerabilità:



La falla, tuttavia, ha anche altre manifestazioni: se la vittima ha impostato il proprio computer in modo che sia accessibile e controllabile da remoto (per esempio con VNC) e ha protetto questo accesso con una password, un aggressore può comunque accedere e prendere il controllo del Mac via Internet senza digitare alcuna password e senza alcun accesso fisico preventivo. In altre parole, un disastro. È già partita la caccia ai Mac vulnerabili, facilmente scopribili via Internet. Fra l’altro, la falla era stata segnalata un paio di settimane fa in un forum di Apple (qui, da chethan177 alle 12:48 del 13 novembre).

Per sapere se avete attiva la gestione remota, andate in Preferenze di Sistema - Condivisione e controllate lo stato delle voci Condivisione schermo e Login remoto.

Apple ha dichiarato che sta preparando un aggiornamento software che risolva il problema: nel frattempo consiglia di creare un utente root e di assegnargli una password molto lunga e complicata, come descritto qui in inglese e qui in italiano.

In particolare, se avete provato a replicare questa falla e volete assegnare una password all’utente root che avete involontariamente già creato con il vostro esperimento:

  • andate in Preferenze di Sistema - Utenti e Gruppi;
  • sbloccate le impostazioni usando la vostra password di amministratore;
  • cliccate su Opzioni login;
  • cliccate su Accedi o Modifica (il pulsante accanto a Server account rete);
  • cliccate su Apri Utility Directory;
  • cliccate sul lucchetto e immettete un nome utente e una password di amministratore;
  • dal menu in alto, scegliete Modifica e poi Modifica la password dell’utente root;
  • immettete una password robusta per l’account root. 
Se sapete usare la riga di comando, vi basta aprire una finestra di terminale come amministratore e digitare sudo passwd -u root.

Altre soluzioni sono descritte da ericjboyd (anche qui).


2017/11/29 18:00


Apple ha rilasciato un aggiornamento correttivo. Lo trovate nei consueti aggiornamenti di macOS. Notevole la raccomandazione di “Installare questo aggiornamento il più presto possibile”.



2017/12/01 8:30


È emerso che l’aggiornamento correttivo di Apple rilasciato inizialmente causa problemi nella condivisione di file locali, costringendo gli utenti ad effettuare una procedura (non banale per molti utenti) di ulteriore correzione. Apple ha così rilasciato un ulteriore aggiornamento che corregge la magagna e a quanto pare si installa automaticamente. Per sapere se l‘avete installato, andate nell’elenco degli aggiornamenti nell’app App Store: dovreste trovare due aggiornamenti etichettati Security Update 2017-001.




Fonti: Ars Technica, The Register, Engadget, Gizmodo, Motherboard, 9to5 mac, Intego, Sophos, Spider-Mac.com (in italiano).
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (36)
Ho aspettato fino a due giorni fa per installare macOS High Sierra proprio perché volevo prima vedere se non usciva nessuna magagna. Ma lunedì, appunto, mi sembrava che il tempo trascorso dal suo rilascio fosse sufficiente e mi sentivo sicuro. Uff....
La famosa EPIC FALL. XD
Cavolo ma è mostruosa davvero sta vulnerabilità. Si può in effetti parlare di vulnerabilità? Mi spiego: non è uno strano marchingegno che sfrutta falle di qualche sistema minore... l'attacco è talmente banale che potrebbe farlo anche mia nonna.
Questa è una delle dimenticanze (perché non si tratta di un bug) più gravi che abbia mai visto in 20 anni di lavoro come sistemista, mi viene quasi da pensare che sia stato fatto apposta, assurdo...
Gravissimo, da utente apple dal 2004 sono sempre più dispiaciuto dell'esperienza che sto avendo con questo brand.

Personalmente non ho aggiornato ancora i miei sistemi (MBP e iphone) perché non vedo una gran qualità e le notizie sugli aggiornamenti sono sempre più preoccupanti.

Mio figlio è già ritornato su Windows, quando mi scoppierà il MBP farò lo stesso, i nuovi portatili fanno onestamente cagare ... c'è gente che si litiga nel mercato dell'usato i MBP precedenti, perché quelli appena usciti sono del tutto useless per chi lavora: 2500€ di computer e poi devi comprarti adattatori di tutti i tipi per usare le 4 cazzo di porte USB3 che ti mette a disposizione; niente lettore sd-card, via la HDMI (io non la usavo, ma tanti altri sì), via thunderbolt, via USB normali, via la ram espandibile ... cioè, praticamente sono dei tablet con la tastiera. Apple suca neh! non mi serve un portatile sottile come un foglio di carta, mi serve che ci possa lavorare.

p.s. thunderbolt che fine ha fatto? è finito nello stesso paradiso del firewire? Che sòla.
A mio modesto parere sarebbe il caso di disattivare lo password di root se possibile (come faccio regolarmente sulle installazioni linux che non lo prevedono di default); inoltre credo che se il disco è criptato la falla possa fare ben poco. Comunque epic fail di apple, non vedo motivi validi perché sia possibile fare login con l'utente root
Chiedo scusa, so che non è bello usare blog altrui per sfogarsi, ma ce l'ho qui da un po' ...
"Prestazioni reattive, comandi efficaci, dettagli ultranitidi: con videogame dalla grafica complessa come Grid 2 Reloaded Edition, giochi sempre al massimo."
È una delle tagline del nuovo MBP ... devo veramente sapere chi si compra un mac per giocare, quando con quei cosi ultrasottili il problema più grosso è la dispersione del calore (che non avviene) con conseguenti e tragici cali di fps. Mettici pure la scheda grafica più figa del momento, tanto tra librerie grafiche un po' del cazzo e l'impossibilità di disperdere calore, anche per i giochi il MBP è del tutto useless.

Qualcuno mi dica quale dovrebbe essere il target dei nuovi MBP, perché a me proprio sfugge.
'Sta cosa di High-Sierra che fallisce una delle poche cose per cui mac era meglio di windows (una multiutenza robusta) è solo l'ultima goccia per quanto mi riguarda.
Di fronte a errori cosi' pazzeschi, ci sara' ancora gente convinta che i Macbook sono piu' sicuri dei PC?
Sono d'accordo con l'utente che non definisce questo caso una vulnerabilita', questo e' un errore clamoroso del produttore, non una cosa nascostissima che solo sabotatori esperti potevano scovare.
Argh.
Paolo, non capisco: "Ma nella versione attuale di macOS High Sierra (10.13 e 10.13.1), se l’aggressore digita root come nome utente, senza immettere una password ma semplicemente posizionando il cursore nella casella della password, e poi clicca Sblocca ripetutamente (a me sono bastati due tentativi), ottiene pieno accesso alle impostazioni del Mac."

Non c'è una casella di "Sblocca". E se premo "return" ripetutamente non funziona.
Dove sbaglio?
questo vuol dire una cosa: ZERO controlli sui privilegi.
siamo al "if nomeutente = "root" then".. più o meno quello che fai nella tua prima applicazione appena impari a programmare
Chiaro segno che hanno sempre troppa fretta di immettere un prodotto sul mercato. Se avessero aspettato anche solo un mese a lanciare High Sierra, andando a correggere tutti i bachi e - soprattutto - a eliminare dalla versione di distribuzione le loro porte sul retro usate per il debug, forse avrebbero distribuito un sistema all'altezza delle versioni precedenti.
@PGC
chiedi alla nonna di Fabio quell'altro
pgc,

ho riformulato la frase per chiarire: devi andare nelle preferenze di sistema - Utenti e gruppi e cliccare sul lucchetto. A questo punto compare una richiesta di nome uente e password con il pulsante Sblocca, come mostrato nello screenshot in cima all'articolo.
Stavo leggendo la discussione sul forum di Apple: non mi sembra che chethan177 stesse segnalando un bug, ma piuttosto suggerendo un trucco per creare un account di root su una macchina che, per qualche motivo, risultava completamente priva di account di amministratore.
Cioè, l'utente ha buttato lì una soluzione ad un problema qualunque, mettendo di fatto in luce una falla di una gravità inaudita; o magari sono io che non ho capito la conversazione.
Shodan nel frattempo ha filtrato le ricerche (mi pare).
Ho provato immediatamente con il mio macbook aggiornata alla versione 10.13.1 però non ha funzionato. Evidentemente la criticità non è presente su tutte le macchine. In ogni caso ho disabilitato l'utente ospite.
Questa cosa è assolutamente ridicola e non parlerei di "fretta di far uscire il nuovo sistema" ma proprio di progettazione fatta col fondoschiena.
Linux è free e non ha di questi problemi. Idem BSD. Ubuntu ha una serie di deadline per le uscite (potrà capitare di fare le cose di fretta) e l'utente root lo devi attivare *esplicitamente*.

Apple evidentemente sta investendo risorse solo sugli icosi, e i risultati si vedono. Macchine nuove già obsolete prima dell'uscita e sistemi operativi colabrodo.
Paolo,

grazie per il chiarimento.

Ci ho provato un numero infinito di volte a seguire con attenzione le tue indicazioni e sul mio MacBook Pro High Sierra 10.13.1 NON funziona.

Aggiungo che a me il test "sudo dscl . read /Users/root | grep -q AuthenticationAuthority" dà "niente" (blank, per intenderci).

A questo punto vorrei chiedere a quanti di coloro che scrivono qui ci hanno provato veramente. Se questa specie di bug richiede alcune condizioni al contorno per verificarsi, l'indicazione di non scaricare High Sierra mi sembra eccessiva. O no?
Su Twitter le comiche dei fanboy 😀
pgc,

L'ho provata su quattro dei sei Mac che ci sono nel Maniero Digitale (gli altri due non sono aggiornati a High Sierra per problemi di compatibilità). Tutti e quattro hanno dato lo stesso problema.

Le condizioni al contorno ci sono, ma sono abbastanza comuni.
@ CPaolo1979
È esattamente come dici, il povero chethan177 ha perso a sua insaputa un'ottima occasione di guadagnare 50000$ di premio per aver scoperto la falla. Mentre Lemi Orhan Ergin lo ha fatto consapevolmente :-)

@pgc
Forse hai una password già impostata per l'utente root? Ho letto in uno dei vari forum sul tema che se una password per root era stata impostata anche in una versione precedente di macOS, dopo l'aggiornamento a High Sierra la falla risulta comunque non accessibile.
Ok Paolo. Grazie ancora.

A questo punto vorrei capire perché il mio Mac è immune al problema. Almeno sembra...
anche sul mio non ci sono riuscito, e mentre riprovavo la terza volta mi si è aggiornato da solo con la patch, avendo gli aggiornamenti automatici attivi...
@Lupo della luna, hai proprio ragione: i fanboy nun se reggono, come dicono a Roma.
TUTTI i fanboy, però.
"Linux è free e non ha di questi problemi", ma davvero? Vediamo un po'... limitandosi solo alle local privilege escalation (come nel caso della falla di High Sierra in esame), espressioni come Dirty COW o BlueBorne ti dicono niente? Nel caso, fatti un po' un giro su questo repository github, simpaticamente intitolato Linux kernel exploitation. Nota anche le date, già che ci sei.

TLDR: TUTTI i sistemi sono insicuri. Punto. C'è chi è messo peggio (e a mio avviso tra questi non c'è macOS o come cavolo si chiama adesso), c'è chi è messo meglio (no, qui non c'è windows, secondo me, anche se sono migliorati tantissimo), ma NESSUNO si può dire al riparo da problemi, per quanta attenzione si sia posta sulla progettazione e sull'implementazione.

A scanso di equivoci, sono uno che preferibilmente usa (e lavora con) software open source, che (se non è costretto baionette alle reni) non usa windows, al quale preferisce, per motivi strettamente tecnici, un qualunque sistema unix anche scelto a caso, e sono un utente linux se non della prima ora, diciamo della prima ora e mezza, visto che ho compilato il mio primo kernel linux nel secolo scorso :-)...
Ma davvero non riesco a sopportare la presunzione di chi si sente TECNICAMENTE superiore perché aderisce a una FILOSOFIA (ideologia?) di approccio alla tecnologia, per intenderci uno alla Stallman, che non riesco a digerire nemmeno con una vagonata di bicarbonato.
Tolgono ftp e telnet perché non sono sicuri e contemporaneamente aprono una voragine di queste dimensioni ? Qui diciamo "Mi tocco se ci sono".
@Lupo della Luna
Appunto: la fretta porta a commettere errori marchiani e a progettare le cose alla membro di beagle. Poi, tra l'altro, non vedo perché devano sempre mettere mano alle cose che funzionavano bene in precedenza, tipo la sicurezza sui Mac OS fino a Sierra. Se era solida, perché andare a cambiare tutto? Oltre tutto, perché lasciare lì una porta sul retro così evidente, che chiaramente faceva parte delle loro versioni alfa, usata molto probabilmente in fase di debug, nella versione di distribuzione? Ribadisco: per la fretta fretta frettissima, perché avevano quella scadenza ed erano tremendamente in ritardo - già, lì ti do ragione: hanno sprecato un mucchio di tempo sugli iCosi, che da parte loro sono pure pieni di buchi. Ubuntu ha una scadenza semestrale, ma cambiano davvero poco da una versione all'altra; a volte ti chiedi se vale la pena aggiornarlo - soprattutto, però, non vanno a toccare quello che già funzionava; magari mettono mano alle impostazioni di sicurezza quando viene scoperto il buco che non avevano mai individuato prima, grazie al lavoro di qualche hacker etico che glielo comunica invece di andarlo a sbandierare al mondo intero. L'unico grosso cambiamento che ho rilevato nell'ultimo Ubuntu è il ritorno a Gnome; altrimenti probabilmente non mi sarei preso la briga di aggiornare le mie macchine con Ubuntu.
(Se Blogger mi ha preso il commento millemila volte, pregherei Paolo di eliminare i doppioni. Blogger sta un po' battendo i quarti coi commenti, oggi.)
@Sistemista Disperato
XP installato con il controllo utente sullo stesso PC (quindi tutte le installazioni casalinghe e in molti uffici), aveva lo stesso identico problema. Al posto del nome utente bastava inserire Administrator senza nessuna password ed antravi come amministratore. A meno che ad Administrator non era stata impostata una password successivamente all'installazione.
Provato personalmente su alcuni PC dove l'utente si era dimenticato la password e non avevo sottomano Ophcrack
Barbagianni... ti propi un barbazan. Ti saluta mia nonna.

L'utente medio APPLE si incazza quando il suo giochino risulta "attaccato" da bastardissimi ragazzini scovabug... perché? Quale problema rappresenta prendere coscienza che MAC OS non è invulnerabile? Piuttosto il problema è spegnere il cervello tanto mi protegge Apple. Mi piacerebbe sapere se esista da qualche parte, ad esempio, una statistica normalizzata sulle vittime di fishing. Sarebbe interessante dargli uno sguardo.
Interessante: a me questo aggiornamento non risulta disponibile, né completato.
come non detto: un minuto fa la Security Update 2017-001 si è autoinstallata.
Da ingegnere elettronico con più' di 25 anni di esperienza non mi sento di gettare la croce sugli ingegneri di Apple, ma nemmeno su quelli di Microsoft o di altre aziende. E' vero che l'errore sembra piuttosto grossolano, ma nella mia carriera ho visto ottimi progettisti ( o anche più' modestamente me stesso) fare errori a volte banali, e come diceva un manager che conoscevo e che purtroppo e' venuto a mancare recentemente sono tutti intelligenti a posteriori.
Il problema e' che più' il sistema diviene complesso piu' aumenta il tempo di verifica spesso esponenzialmente; a tante persone (compresi purtroppo molti managers) sfugge che orami si spende tempo, ma molto più' tempo a verificare il sistema piuttosto che a progettarlo.
Ovviamente non e' che possa sapere che come siano andate veramente le cose, ma il problema e' che l'utente root era abilitato di default quando invece dove essere disabilitato. Probabilmente era dato per scontato che nessuno ha pensato di mettere un controllo. E' un errore comune modificare qualcosa per fare una prova e poi dimenticarsi di rimettere le cose a posto; purtroppo i controlli da fare sono tanti che qualcosa può' sfuggire.
Questo per dire che uso i computer Mac (insieme a quelli Windows e Linux) e tutto sommato li ritengo dei buoni prodotti. Non li considero perfetti e come ingegnere penso che ci si deve chiedere se il computer si guasterà' ma quando si guasterà'.
Come diceva il nostro direttore generale le persone paranoiche risultano spoke simpatiche ma sono quelle che in genre sopravvivono...
Questo penso che sia solo ad uso e consumo tuo, Paolo, vista l' "anzianità" del post.
Pare che la patch crei casini con la condivisione file. Hanno dovuto pubblicare un secondo documento di supporto con le istruzioni per ripararla.
https://www.theguardian.com/technology/2017/nov/30/apple-macos-high-sierra-fix-breaks-file-sharing-password-security-flaw-emergency-patch.
Ciao
Continuando a cazz...eehm, informarmi, ho visto che per evitare di costringere gli utenti ad usare quella cosa strana chiamata terminale hanno riscritto la patch. In puro stile microsoft hanno patchato la patch ;)
https://www.macrumors.com/2017/11/29/apple-macos-high-sierra-file-sharing-fix/
Con quello che costa un Mac mi aspetto che sia sicuro non quanto Linux, che è gratis, ma molto di più. Mi aspetto che se non è sicuro sia almeno controllato per le cose basilari prima dell'uscita. Invece no.
Esce con dei bug stupidissimi.
@Lupo:
forse ritieni che Linux sia sviluppato, come era quando iniziavo a provarlo io, da quattro studenti negli intervalli liberi tra un esame e l'altro. Spiacente di deluderti, ma lo sviluppo del kernel è, in larghissima parte ormai, fatto da programmatori pagati per farlo da aziende che fatturano miliardi come Oracle, RedHat, Intel, Samsung, Huawei, Google, Facebook, e pure (udite udite) Microsoft. Fonte: qui, riprendendo dati della Linux Foundation.
Quindi, per dire, tutte le volte che Google ti vende come prodotto profilando le tue ricerche o smontando e rimontando le tue mail, si sta ripagando anche delle cifre spese per lo sviluppo del kernel di Linux.