Passwortschutz von macOS High Sierra lässt sich einfach umgehen

MacWorkspace

Jeder Mac-Rechner, auf dem Apples neuestes Betriebssystem installiert ist, lässt sich mit Eingabe der User-ID “root” ohne Eingabe eines Passworts entsperren. Apple arbeitet derzeit noch an einem Fix.

Ein türkischer Entwickler namens Lemi Orhan Ergin hat einen Fehler in macOS High Sierra 10.13 entdeckt, der es offenbar erlaubt, dass Root-Konto ohne Eingabe eines Passworts zu aktivieren. Als Folge kann ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac übernehmen. Der Bug soll es Unbefugten aber auch erlauben, einen Mac ohne Eingabe eines Kennworts zu entsperren.

Die Existenz der Sicherheitslücke ist schon länger bekannt. Sie wurde in einem Apple-Entwickler-Forum bereits am 13. November erwähnt. Außerdem lässt sich das Root-Konto nicht nur über die Systemeinstellungen aktivieren, sondern immer dann, wenn ein Log-in-Fenster mit der Möglichkeit zur Eingabe von Benutzername und Passwort erscheint.

Das war im Test mit einem mit macOS High Sierra betriebenen MacBook Air standardmäßig eingestellt. Frühere macOS-Versionen zeigten im Anmeldebildschirm stattdessen aktive Nutzernamen an, ohne eine Möglichkeit “root” als User-ID einzugeben. Abgesehen davon sind frühere Versionen von der Lücke nicht betroffen, da sich der User “root” nicht über eine einfache Eingabemaske aktivieren lässt.

Ein Bug in macOS High Sierra 10.13 erlaubt die Aktivierung des Root-Kontos ohne Eingabe eines Passworts (Screenshot: ZDNet.de).
Ein Bug in macOS High Sierra 10.13 erlaubt die Aktivierung des Root-Kontos ohne Eingabe eines Passworts (Screenshot: ZDNet.de).

Das Root-Konto lässt sich über die Systemeinstellungen von macOS High Sierra einschalten. Ein Angreifer muss lediglich die Einstellungen für Benutzer und Gruppen öffnen und das “Schloss” anklicken, um diese zu ändern. Bei der Passwortabfrage für den angemeldeten Nutzer muss anschließend lediglich der Name zu “root” geändert werden – das Passwortfeld kann indes leer bleiben. Nach mehreren Klicks auf “Schutz aufheben” sind nicht nur alle Einstellungen für Benutzer und Gruppen zugänglich, auch das Root-Konto ist aktiv und kann für jegliche Änderungen benutzt werden.

Ein gesperrter Mac ist angreifbar, falls die Option “anderer Benutzer” beziehungsweise die Felder zur Eingabe von Benutzername und Kennwort auf dem Sperrbildschirm zur Verfügung stehen. Auch dort muss lediglich der Benutzername “Root” ohne Kennwort eingegeben werden, um die Sperre aufzuheben – was Nutzer unter anderem in auf Twitter veröffentlichten Videos demonstrieren.

Sicherheitslücke möglicherweise auch aus der Ferne ausnutzbar

Der Sicherheitsforscher Will Dormann des CERT/CC der Carnegie Mellon University will sogar einen Weg gefunden haben, die Schwachstelle aus der Ferne auszunutzen. Dafür muss die Screen-Sharing-Funktion aktiv sein. Ein Zugriff aus der Ferne soll aber auch über das Apple Remote Management möglich sein – jeweils ohne Kenntnis eines gültigen Passworts. ZDNet.de hat diese Möglichkeit nachvollzogen. Ist die Bildschirmfreigabe aktiviert, kann man sich aus der Ferne mit der User-ID “root” ohne Eingabe eines Passworts anmelden.

Ein Apple-Sprecher bestätigte den Fehler inzwischen. “Wir arbeiten an einem Software-Update, um das Problem zu beheben”, sagte er. Apple empfiehlt, bis zur Veröffentlichung eines Updates ein Passwort für das Root-Konto zu vergeben. Dafür muss im Terminal der Befehl “sudo passwd –u root” eingegeben werden.

Laut Tests von ZDNet USA sind macOS High Sierra 10.13.0, 10.13.1 und auch die aktuelle Beta 5 von macOS High Sierra 10.13.2 betroffen. Auf einem virtualisierten Testsystem von ZDNet.de ließ sich nur der erste Teil des Bugs nachvollziehen – das Entsperren ohne Kennwort war erst nach der Aktivierung des Root-Kontos über die Systemeinstellungen möglich.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.