Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

MacOS-kernel blijkt vatbaar voor aanval via exploit

Met een nieuwe exploit voor de macOS-kernel blijkt het voor een aanvaller mogelijk om volledig toegang tot een systeem te krijgen. Via een bug in een extensie van de macOS-kernel kan een aanvaller roottoegang verkrijgen, een root shell installeren, of willekeurige code uitvoeren.

Volgens de maker van de exploit, een Twitter-gebruiker die zichzelf omschrijf als 'hobbyistische hacker', gaat het om een bug in IOHIDFamily, een kernel-extensie. Daarmee is het mogelijk om een systeem dat op macOS draait bijvoorbeeld te laten uitloggen, uit te schakelen of opnieuw te laten opstarten.

Verder blijkt het mogelijk om de System Integrity Protection uit te schakelen, een systeem van Apple dat bescherming moet bieden tegen malware. Met dit systeem beperkt Apple de rootgebruikersaccount en limiteert het de handelingen die een rootgebruiker kan uitvoeren op beveiligde delen van OS X.

Het gaat specifiek om het gedeelte IOHIDSystem, dat volgens de ontdekker alleen aanwezig is op macOS, waardoor de kwetsbaarheid niet bestaat op iOS. De kwetsbaarheid is te misbruiken voor systemen die draaien op Sierra 10.12.0 tot High Sierra 10.13.1. Volgens de maker is de exploit niet te gebruiken bij High Sierra 10.13.2, al zegt hij niet te weten waar dat aan ligt. De maker heeft de exploit gepubliceerd op GitHub.

De kernel-extensie IOHIDFamily is vaker in verband gebracht met kwetsbaarheden. Volgens de ontdekker was deze extensie in het verleden berucht om de vele race conditions die het bevatte. Dit zijn situaties waarbij de uitkomst van een routine onverwacht is en afhangt van de tijd die de verschillende processen binnen de applicatie voor hun rekening nemen.

Door

Nieuwsredacteur

117 Linkedin Google+

Reacties (117)

Wijzig sortering
De kwetsbaarheid is te misbruiken voor systemen die draaien op Sierra 10.12.0 tot High Sierra 10.13.1. Volgens de maker van de exploit niet te gebruiken voor High Sierra 10.13.2, al zegt hij niet te weten waar dat aan ligt. De maker heeft de exploit gepubliceerd op GitHub.
Needs to be running on the host already (nothing remote), achieves full system compromise by itself, but logs you out in the process. Can wait for logout though and is fast enough to run on shutdown/reboot until 10.13.1. On 10.13.2 it takes a fair bit longer (maybe half a minute) after logging out, so if your OS logs you out unexpectedly... maybe pull the plug? And maybe don't download & run untrusted software until the bug is patched (or, you know, ever)? Also, any decent antivirus shouldn't take long to add this to their malware definitions.
Bron. In die thread staan nog meer interessante comments van dezelfde persoon waaronder uitleg hoe hij de kwetsbaarheid heeft gevonden, en hoe de communicatie met Apple is verlopen.
Ik kan niks in je bron vinden hoe de communicatie verliep met Apple.
Moet je even de main thread openen en verder lezen in volgorde. Dat leest ook een stuk makkelijker weg en dan krijg je alle info te lezen. :)
Hmm ik zie niets over de communicatie met Apple in jouw link?
En juist dit soort achtergrondinformatie mag in zo'n artikel (zťker op Tweakers) niet ontbreken vind ik. Ik kom hier al jaren met plezier maar ik kom de laatste paar maanden steeds meer clickbait achtige artikelen tegen waarbij het ook aan diepgang ontbreekt. Weinig tijd mag geen excuus zijn als dit soort achtergrond informatie makkelijk is te vinden (zeker voor een journalist).

Admin-edit:Spelfouten en/of ander commentaar m.b.t. nieuwsposts horen thuis in
Geachte Redactie.

[Reactie gewijzigd door Bor op 1 januari 2018 17:54]

Maar als je als journalist de tijd wel neemt krijg je vervolgens als kritiek 'waarom komt dit artikel zo laat, het staat al twee dagen op website XYZ?!'.

Dus OF je maakt de ongeduldige tweakers gelukkig, zoals nu, of de technisch geinteresseerden zoals jij. Of je neemt een paar extra journalisten aan zodat je snel en technisch in-depth artikelen kan schrijven, maar dan achter een paywall want anders is het niet te betalen.

Dan bij voorkeur de hier gekozen aanpak: een snel artikel met linkjes waar je meer diepte kan vinden.
Heel simpel, je plaatst een initiŽle versie en vult later aan.
Dat zou ik dus niet waarderen. Ik heb liever dat een artikel wordt gepost als eindresultaat. Maar het hoeft ook geen dagen te duren. 1u onderzoek ipv 5min. scheelt ook al een hoop ;)
Altijd maar dat argument met die race tegen de klok. Het gaat er niet om wie de informatie het snelste online heeft staan. Leuk voor kritische gebeurtenissen waar het artikel bijgewerkt wordt maar niet voor technisch nieuws waar nuances en achtergrondinformatie belangrijk is.

Als ik snel op de hoogte wil zijn van dingen waar verdere informatie ontbreekt kijk ik wel op andere sites of op Twitter.

Het is zo jammer want ze kunnen het wel. De langere artikelen zijn van betere kwaliteit dus waarom dan de nieuws artikelen niet? Het is toch triest om de reacties onder artikelen te moeten lezen om aan achtergrond informatie te komen die in het artikel had moeten staan?
Altijd maar dat argument met die race tegen de klok. Het gaat er niet om wie de informatie het snelste online heeft staan.
Da's jouw mening, hŤ... niet dat ik het direct met je eens ben (of juist niet met je eens ben), maar ik zie regelmatig in de comments dan wel op het forum als kritiek voorbij komen dat een nieuwsbericht twee dagen eerder al ergens anders te zien was, 'dus waarom hier niet'. Ofwel, er zijn ook lezers hier die wel de informatie het liefste zo snel mogelijk online heeft staan.

Het is denk ik best lastig om het iedereen naar z'n zin te maken. :)
Juist als het twee dagen eerder al ergens anders stond zou er toch genoeg tijd geweest moeten zijn voor een in depth artikel?
Er zal niemand boos zijn als het artikel meer informatie bevat dan die van XYZ. Het is pas als je dezelfde informatie, minder informatie of incorrecte informatie 2 dagen later post dat men begint te zeuren.
Ik wil hier wel aan toevoegen dat de recente originele Tweakers stukken wťl weer het lezen waard waren.
Dit is juist clickbait omdat de laatste update dit heeft gefixt en dan staat er doodleuk blijkt vatbaar ipv was/bleek oid...
Als journalist moet je juiste kopteksten gebruiken, geen valse informatieve kopteksten of kopteksten aangezien een simpele update deze bug vernietigd.

-knip-

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 1 januari 2018 17:55]

Maar het zijn de feiten helemaal niet. De laatste update heeft dit niet gefixt en de auteur heeft dus geen valse kopteksten/titels gebruikt... De laatste update zorgt ervoor dat de exploit (geschreven door de aanvaller) niet meer wilde draaien; dat betekend niet dat het lek er niet meer inzit, maar dat de exploit getweakt moet worden om compatible te zijn met High Sierra... Al gaat hij dat waarschijnlijk niet doen omdat Apple elk moment een kernel update kan pushen, ze zijn er al mee bezig.

Dus misschien iets minder snel zo hard van leer trekken tegen de auteur als je niet eerst alles gelezen hebt. ;) En misschien zijn excuses wel op z’n plek.
Even ter informatie. Dit staat er als beschrijving:
The thing is that between this line:
eop->evGlobalsOffset = sizeof(EvOffsets);
and this one:
evg = (EvGlobals *)((char *)shmem_addr + eop->evGlobalsOffset);
The value of eop->evGlobalsOffset can change, which will then cause evg to point to somewhere other than intended.
M.a.w. is de echte fix die Apple moet doen ervoor zorgen dat tussen die twee lijnen eop->evGlobalsOffset niet kan wijzigen. Dat kan bv. door een mutex toe te voegen aan de EvOffsets structure en dan iets doen als mutex_lock(eop->lock); die lijnen; mutex_unlock(eop->lock).

Ik kan me voorstellen dat de EvGlobals struct aanpassen de API en vooral ABI breekt. Maar een simpelere oplossing, die niet noodzakelijk de sizeof van die struct wijzigt, is om een static lock dan te gebruiken.
Volgens de buren is de laatste versie wel degelijk nog kwetsbaar. Geen clickbait dus. Wel geeft Apple aan het probleem te hebben gevonden en te werken aan een patch.
Apple heeft zelf altijd veiligheid in zn marketing gebruikt.
https://www.pcworld.com/a...ms_of_virus_immunity.html
Dan moet je het wel waarmaken.
https://www.cvedetails.com/top-50-products.php
Ja, zo kan ik het ook als ik windows apart becijfer en macOS X als 1 geheel becijfer.. je ziet daar namelijk gewoon windows 7, vista etc. staan en geen macOS X Sira oid.. en in het verleden was de marktaandeel van Apple zo riant klein dat er letterlijk 0 virussen voor macOS/OS X bestonden.
Maar zelfs anno 2017 is de kans riant klein om een goede virus op te lopen omdat je voor de meeste bugs een app nodig hebt die malware met zich mee draagt bijvoorbeeld.
Ik heb voldoende torrents binnen gehaald en nog nooit ook maar 1 virusje gehad..
Nogmaals. Kijk naar 2015. Dan heb je een hooguit twee osx versies. Ik vind het opmerkelijk. Wat jij persoonlijk ervaart is anekdotisch bewijs.
2015?! Dat is 3 jaar TERUG!
Het is nu 2018... en ook toentertijd had je gewoon diverse OS X versies met namen..
Pfff kies je 2017 toch?
Zelfde beeld.
Ook niet, zij tellen alle OS versies samen onder 1 dingetje terwijl ze dat niet doen bij windows bijvoorbeeld.
Inderdaad OS(X) wordt samengevoegd terwijl Windows in "stukken" geknipt wordt.
Had ook liever apart osx high siera gezien. Ben er ook nieuwsgierig naar. Voor win 10 hebben we ook al anniv, creators en fall cr update gehad. Dus 2 jaar windows 10. Mijn gok is dat het gros van de osx bakken een recente versie hebben. Vergelijkbaar met win10.
Ja, hier bundelen ze Mac OSX als geheel samen, in tegenstelling tot alle aparte Windows versies....
Selecteer dan per jaar. Bijvoorbeeld 2015. Daar staat mac osx op 1. Of kijk per product. Er wordt wel degelijk per versie gekeken.

[Reactie gewijzigd door eriki33 op 1 januari 2018 16:13]

Discussies hoeven niet altijd te gaan over wat tweakers plaatst.. @Ventieldopje haalt gewoon een onderwerp aan die nogal gefundeerd is gezien het over het hele platform gaat. Je zou het offtopic kunnen noemen, maar als 'community' hoort kritiek er ook gewoon bij, tweakers moet ook weten tot hoever zijn publiek gaat met clickbait artikelen en dan b.v. tegelijk zeuren over adblockers (uhum :p), zodat we er uiteindelijk allemaal beter van worden op tweakers ;)
Moet de titel niet 'bleek vatbaar' zijn aangezien de meest recente update dit al heeft gefixt?
Dat is toch minder spectaculair ;)

Het is nog steeds relevant aangezien veel oudere Apple apparaten nog vollop in gebruik zijn. Dit kunnen apparaten zijn die maximaal tot Sierra zijn ge-update, en dus nog kwetsbaar.

Ik heb de bug net eens flink doorgelezen en het lijkt erop dat het vannuit terminal, script of programma moet worden uitgevoerd. In andere woorden, als een gebruiker dingen uit onbetrouwbare bronnen lukraak opent. En bovendien is deze bug afhankelijk van shutdowns en logout commando’s, dus de rode vlaggen moeten toch echt wel omhoog gaan als je als gebruiker ineens uitgelogd word en je mac opnieuw opstart
Elke Mac die Sierra heeft gekregen heeft ook High Sierra gekregen, dus dat er Macs zijn die maximaal zijn ge-update tot Sierra is niet waar.
Tenzij de eigenaar van een Mac met Sierra de update naar High Sierra niet geÔnstalleerd heeft.
Als het goed is krijgen die alsnog kernel patches. Net zoiets als dat CentOS 6 net als 7 nog steeds kernel updates krijgt, om maar iets te noemen. :)
In dat geval is ie dus niet maximaal geupdate :+
Ook oudere versies kunnen nog gewoon kernel patches krijgen he :)
Trouwens, bij sommige software installaties reboot de Mac sowieso - dus die rode vlaggen zullen niet voor iedereen opgaan.

Moraal is gewoon zoals altijd weer: download geen rotzooi en vertrouw het liefst niet uitsluitend op Gatekeeper. :P

[Reactie gewijzigd door WhatsappHack op 1 januari 2018 13:43]

Inderdaad. :)

Wel is het zo dat, hoewel oudere versies de belangrijkste updates nog steeds aangeboden krijgen, het aan de gebruiker om die (al dan niet automagisch) te installeren.

Er kunnen goede redenen om dat niet automatisch te doen. Bijvoorbeeld als je een 'niet speciaal voor Mac gemaakte' videokaart gebruikt. Dan moet je een paar dagen wachten tot er nieuwe drivers beschikbaar komen, zodat je kunt updaten, anders krijg je een zwart scherm te zien na de volgende keer opstarten.
Nee, want de meest recente update heeft enkel de exploit gemold - maar het gat niet gedicht. Exploit herschrijven en het gaat waarschijnlijk weer werken. Al is Apple nu bezig met een kernel-patch dus dat zal vandaag of morgen wel gepushed worden. Er is blijkbaar niet bepaald gebruik gemaakt van RD-protocol, ietwat lullig om het zo te publiceren op oudjaarsdag maar afijn. :P
Soort van off-topic: Tweakers blijkt laatste tijd vaker vatbaar voor clickbait-achtige titels.

Natuurlijk hebben ze wel een soort van punt, lang niet alle MacBooks en iMacs zijn voorzien van de laatste update. Maar vaak zijn de meeste machines met macOS wel up-to-date.

Edit: mijn reactie wordt gemint omdat? Het is gewoon zo. Zie de reactie van @Ventieldopje , er zijn gewoon veel clickbait titels en er mist vaak een hoop informatie. Nu snap ik ook wel dat de communitie altijd zal bijdragen aan extra informatie, maar vaak mist Tweakers toch wel wat kritieke informatie.

Blijkbaar mag er geen kritiek meer worden gegeven? Stuur mij volgende keer ook de memo.

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 1 januari 2018 18:08]

Zie andere reacties: het lek is nog niet gedicht. De exploit zoals die was werkt alleen niet meer.
Mijn MacMini Server draait nog op Sierra 10.12.6, graag houd ik dit even zo..
Hopelijk komt er nog een security update uit voor Sierra.. ?
Naast High Sierra, zijn Sierra en El Capitan ook nog steeds ondersteund met security updates: https://support.apple.com/en-us/HT208331
ok thx,

Dus Yosemite niet meer.. ?
Ik vroeg me al af deze nog ondersteund word, maar blijkbaar dus niet meer ?..
Apple is daar nooit echt duidelijk over helaas. Het kan ook zijn dat Yosemite niet kwetsbaar was.

Maar omdat het daar om meerdere vulnerabilities gaat, lijkt het er inderdaad op dat Apple hiermee gestopt is want de kans is klein dat dat voor allemaal het geval zou zijn.

Ik werk zelf veel met zakelijke toepassingen en Apple is helaas erg vaag over hoe lang ze ondersteuning verlenen. Als ze gewoon zouden stellen dat ze N-2 ondersteunen (huidige, vorige en die daarvoor) maar hun beleid is nogal willekeur. Ook mis ik erg een LTS versie.

Omdat je zakelijk vaak vast zit aan oudere versies ivm compatibiliteit van obscure software is dit heel vervelend.
In de tussentijd gewoon geen software (of scripts) uit onbetrouwbare bronnen openen.

Deze bug is in eerste instantie afhankelijk van de gebruiker. Zie mijn andere reactie voor een iets langere uitleg
Oftewel, updates installeren.
Draai hier 10.13.2 op mn Macbook pro retina mid 2015, niks speciaals voor gedaan kennelijk automatisch geŁpdatet ergens in november?

lapwing2:~ ajodocus$ uname -a
Darwin lapwing2 17.3.0 Darwin Kernel Version 17.3.0: Thu Nov 9 18:09:22 PST 2017; root:xnu-4570.31.3~1/RELEASE_X86_64 x86_64
Open de App Store of tik bijv $ softwareupdate --history | grep macOS | less dan zie je wanneer je 10.13.2 is geinstalleerd. Bij mij is het 7 december 2017. YMMV. De kernel is inderdaad wat ouder, maar dat zegt niet alles. In dit geval is de kernel ~maandje eerder gecompiled dan de release van de macOS update.
Dat de kernel is geŁpdate wil niet automatisch zeggen dat daarmee ook de kernel-extension - in dit geval dus IOHIDFamily - geŁpdate is.
Via een bug in een extensie van de macOS-kernel kan een aanvaller roottoegang verkrijgen, een root shell installeren, of willekeurige code uitvoeren.
Ik durf hier de conclusie uit te trekken dat de Darwin-kernel an sich vatbaar is voor exploits via kernel-extensions. En die kun je ook zelf installeren, zoals bijvoorbeeld MacFuse. Werk aan de winkel voor Apple om dat goed af te schermen.
On 10.13.2 it takes a fair bit longer (maybe half a minute) after logging out, so if your OS logs you out unexpectedly...
En dat betekent dus duidelijk niet dat 10.13.2 niet vatbaar is maar alleen dat de exploit daarmee dus die zg. race conditions heeft gekregen.
Ik durf hier de conclusie uit te trekken dat de Darwin-kernel an sich vatbaar is voor exploits via kernel-extensions.
Mja, maar dat is niet echt te voorkomen. Een kernel extension wordt per definitie een onderdeel van de draaiende kernel en kan dus alles. Daarom is 't zaak om goed te letten op welke kexts je installeert.
Het mag dan wel gefixed zijn in de volgende release maar het heeft er nogal een tijdje in gezeten:
One tiny, ugly bug. Fifteen years. Full system compromise.
Ik vind het een knap stuk research wat hij heeft geschreven.
Even snel over de bug lezen: Je hebt dus wel al toegang tot de shell nodig en moet wachten totdat de omstandigheden 'goed' worden en dan heb je een race conditie waar de exploit ofwel totaal niets doet, in het verkeerde geheugenplaats terecht komt (en af en toe een panic veroorzaken) of het werkt.

Hij zegt ook niet wat de kans is voor de race conditie en geeft later toe dat het niet werkt in de laatste versie van OS X (je moet namelijk een kernel slide uitvoeren) maar in theorie zou de code kunnen werken met een samenstelling van de code of via een Mach-port.

Dus misschien wel een bug in de code, maar om dit nu een naam te geven vind ik zelf overroepen, je gaat er geen gevaarlijk virus mee maken.

Meerdere keren getest op verschillende OS:
Ofwel doet de exploit niets met een "Operation not permitted" of de computer crashes.

[Reactie gewijzigd door Guru Evi op 1 januari 2018 22:28]

Ok,

Idd, dank voor je info !
we doen ook geen gekke dingen met de server ;)
Wie durft er onderhand nog met een stalen gezicht te claimen dat IOS/MacOS veiliger zijn dan Windows/Unix en Android? Het lijkt wel een gatenkaas. Het ene lek/kwetsbaarheid is gedicht/opgelost of de volgende dient zich al weer aan. En niet de meest lullige.

Apple had de melder medegedeeld dat ze een patch hadden uitgebracht, maar die bleek het lek niet te dichten waarna de ontdekker zijn bevindingen maar openbaar maakt omdat hij dacht dat Apple er niets mee had gedaan.

Apple wordt steeds slordiger en haar producten en dienstverlening steeds buggier en slechter.

[Reactie gewijzigd door Baggy Trousers op 1 januari 2018 21:49]

Lekker onprofessioneel, de ontdekker niet eens bij naam noemen omdat het een jailbreak dev is.
Aan de hand van het verhaal in die artikel, heb ik een simpele vraag, want er wordt te veel met de terminologie gerommeld:
Ik dacht dat:
MacOS het oudere besturing systeem was van Apple Macintosh, en daarna kwam OSX, en voor mobiele versies iOS.
Heb ik dat goed, of heb ik dat fout?
- Als ik het fout heb, hoe zit het dan wel?
- Als ik het goed heb, snap ik van de opzet van het geposte artikel, helemaal niets, want er is zo erg gerommeld met deze door mij genoemde termen, dat er geen draad aan vast te knopen valt.... 8)7 |:(
Dat gerommel komt door Apple zelf... die veranderen de naam steeds.
Sinds 10.12 (Sierra) heet het weer "mac os".

Zie https://nl.wikipedia.org/wiki/MacOS
Ah, dank, nooit verwacht dat er een NL pagina zou zijn over een verklaring hierover.... 8)7 |:(
Mac OS X is de opvolger van Mac OS 9. Het teken "X" in de naam verwijst naar het Romeinse cijfer tien. Sommige mensen lezen het teken echter als de letter 'x'. Dit wordt in de hand gewerkt doordat veel Unix-gerelateerde systemen een naam hebben die eindigt op een 'x'; bijvoorbeeld AIX, IRIX, Linux, Minix, Ultrix en Xenix. Daarnaast wordt de grafische Unix-interface het X Window System genoemd. Een andere reden is de tendens van Apple om naar specifieke versies te verwijzen met een decimaalnotatie, bijvoorbeeld met Mac OS X 10.4.

Voormalige versies van Mac OS X worden vernoemd naar grote katachtigen en worden sinds versie 10.2 (Jaguar) ook onder deze naam geadverteerd en verkocht. Zo wordt Mac OS X-versie 10.6 door Apple en Macgebruikers gewoonlijk Snow Leopard genoemd, en versie 10.7 Lion. Vanaf versie 10.7 is "Mac" uit de naam verdwenen, en gaat het besturingssysteem verder onder de naam "OS X". Sinds OS X 10.9 verving Apple de naamgeving aan de hand van katachtige door locaties in California.

Vanaf versie 10.12 is de naam van OS X gewijzigd naar macOS. Het besturingssysteem heeft een nieuwe naam gekregen om beter in lijn te liggen met iOS, tvOS en watchOS.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*