Root Exploit

wegus

wegus

MU Team
Thread Starter
Dabei seit
13.09.2004
Beiträge
19.699
Reaktionspunkte
7.553
heise.de meldet einen root-Exploit für Leopard:

http://www.heise.de/newsticker/Root-Exploit-fuer-Mac-OS-X--/meldung/109735


Der Vorschlag die entfernte Verwaltug zu aktivieren (ja aktivieren, nicht deaktivieren!) in Systemeinstelllung-Sharing scheint dabei schon zu helfen. Der kleine Shell-Exploit zumindest funktioniert dann nicht mehr.

Sollte man vielleicht tun, bis Apple dieses Tor für Angreifer schliesst.
 
Ja schon gemacht, hab aber sicherheitshalber vista gebootet um auf nummer sicher zu gehen. lol
 
nicht nur leopard, sondern auch tiger...
 
:p

...wie gut das der dienst bei mir schon seit Jahren Standard ist ;)

...es gibt schliesslich keinen schnelleren weg, updates oder programme auf mehreren macs gleichzeitig einzuspielen!
 
wegus schrieb:
Der Vorschlag die entfernte Verwaltug zu aktivieren (ja aktivieren, nicht deaktivieren!) in Systemeinstelllung-Sharing scheint dabei schon zu helfen. Der kleine Shell-Exploit zumindest funktioniert dann nicht mehr.

Sollte man vielleicht tun, bis Apple dieses Tor für Angreifer schliesst.
Zum Vergrößern anklicken....

Jep, ich bekomme nach Aktivierung einen Ausführungsfehler:
ARDAgent got an error: "whoami" doesn’t understand the do shell script message. (-1708) -
Hoffentlich reicht das erstmal als Workaround ... :D
 
Der ARDAgent (Apple Remote Desktop) ist in der Lage, AppleScripte mit Root-Rechten zu starten,.....
Zum Vergrößern anklicken....

Zum Glück läuft bei mir eh nur der ZDFAgent. :D
 
LOL mcfeir :lol:

Kennt man schon Zeichen dafür, wenn man sich das Ding eingefangen haben sollte?
 
leonaddi schrieb:
Kennt man schon Zeichen dafür, wenn man sich das Ding eingefangen haben sollte?
Zum Vergrößern anklicken....

Es ist ein Exploit, kein bisher aktiver Trojaner/Virus. Sofern kannst du so noch nichts feststellen.

Ich glaube aber, ihr nehmt das hier mit zu naiven Humor ohne das ich hier Panik verbreiten möchte.

Was mir zu denken gibt ist, dass man mit relativ wenig Aufwand einen beliebigen Root-Befehl absetzen kann. Sowohl über ssh als auch lokal an dem Rechner.

osascript -e 'tell app "ARDAgent" to do shell script "whoami"'; (aus heise.de)

Gibt (ohne PW Abfrage) "root" als Wert zurück, was bedeutet ich kann start "whoami" auch beliebige andere Befehle einsetzen. D.h. jemand kann mit physischen Zugang zum System die "entfernte Anmeldung" aktivieren, root werden und das System manipulieren. Bislang kam man nur an die Benutzerdaten ran ohne Password, jetzt kann man innerhalb von Minuten das System übernehmen.

Über ssh, sofern ein Account auf dem Rechner exisitiert, ginge das natürlich auch. Und gerade auf Servern ist es nunmal nicht möglich zu sagen: "ja dann schalten wir ssh halt aus". Die Idee den ARDAgent das SUID zu entziehen ist meiner Ansicht noch die beste Option, die Frage ist nur wofür braucht er das noch?

Dies ist definitiv ein Design-Fehler von Apple, es ist kein Programmfehler (aka Pufferoverflow). Das sowas solange brauchte um entdeckt zu werden ist beängstigend, und lässt einen eher Frage, wie lange ist das bestimmten Leute schon bekannt?

AleX
 
Zuletzt bearbeitet:
alexzero schrieb:
D.h. jemand kann mit physischen Zugang zum System die "entfernte Anmeldung" aktivieren, root werden und das System manipulieren.
Zum Vergrößern anklicken....

oder über freundliches social engineering eine remote root shell öffnen...

alexzero schrieb:
Die Idee den ARDAgent das SUID zu entziehen ist meiner Ansicht noch die beste Option, die Frage ist nur wofür braucht er das noch?
Zum Vergrößern anklicken....

man kann über den auch software installieren usw...
 
Der Befehl zum entziehen des SUID lautet anscheinend folgendermassen:
sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
Mein Problem ist, dass er nirgendwo in einer Zeile nachzulesen war und ich nicht weiss, ob zwischen u-s und / tatsächlich ein Leerzeichen muss.
Ausserdem würde ich gern wissen, ob es nach Ausführung dieses Befehls eine Art Betätigung gibt. :confused:
 
da muss ein leerzeichen zwischen und es gibt keine bestätigung.
denn unterschied kannst du dir aber mit einem
ls -l /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
vorher und nachher angucken...
 
Ich bin ja mal gespannt wie lange das dauert bis da bei apple mal einer zuckt…
 
Also wenn ich jetzt das Häckchen aktiviere bei entfernter Verwaltung und dann den zugriff nur meinem eigenen Benutzer zuweise ist alles in Ordnung?


Ich verstehe das Problem eigentlich nicht, bin aber bereit die einfachste Lösung auszuprobieren. Deshalb mal meine Frage, ob es so gemeint ist, wie ich es getan habe. Achja, mit der Console kann ich nicht umgehen!
 
Hallo,

tun wir mal so, also rein theoretisch :rolleyes:, ich könnte mit dem Terminal nicht umgehen. Wie schließe ich die Lücke? Wo befindet sich AppleRemoteDesktop und kann es sein, dass ich es gar nicht besitze?

Wie wahrscheinlich ist es, dass mein Mac bis zum nächsten Sicherheitsupdate unbeschadet davonkommt und wie wird es sicherheitstechnisch bei Apple weitergehen, wenn das System gar nicht so sicher ist?
 
Apple Remote Desktop Server ist im System fest installiert.

Na bravo Apple! Da wurden Hausaufgaben offensichtlich nicht gemacht!
 
Hier hab ich noch einen Kommetar auf Heise gelesen. Was ist davon zu halten?

Der typische Heise SCHWACHSINN.

Da wird verschwiegen, daß zum "aktivieren" dieses sogenannten
Exploits das aktive ausführen von Kommandos auf der MAC Büchse
notwendig ist.

Das kann ich auch mit WIN oder Linux oder AIX oder sonstwas
erreichen, indem ich einfach per sudo einen entprechenden buggy
service auf port xy starte (z.B. snmp v1.xx).

Was soll also diese blödsinnige Meldung ?

Achja: Ich habe keinen MAC und benutze Linux (nur so prophylaktisch)
;-)
Zum Vergrößern anklicken....
 
fiep2006 schrieb:
Also wenn ich jetzt das Häckchen aktiviere bei entfernter Verwaltung und dann den zugriff nur meinem eigenen Benutzer zuweise ist alles in Ordnung?
Zum Vergrößern anklicken....

Haken bei :
entfernter Anmeldung entfernen.

Haken bei:
entfernter Verwaltung hinzufügen.

AleX
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten