Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker vindt nieuwe kwetsbaarheden in OS X Lion

Een beveiligingsonderzoeker heeft in OS X Lion een aantal beveiligingsgaten gevonden die nog niet in oudere versies van Apples besturingssysteem aanwezig waren. Door de kwetsbaarheden kunnen mogelijk wachtwoorden worden gekraakt.

Beveiligingsonderzoeker Patrick Dunstan heeft ontdekt dat elke gebruiker in OS X Lion de ShadowHashData-bestanden van een willekeurige andere gebruiker kan opvragen; bij oudere OS X-versies was hiervoor nog het root-wachtwoord nodig. Met deze hashbestanden kan geprobeerd worden het wachtwoord van een gebruiker te achterhalen, bijvoorbeeld via een dictionary-aanval of met behulp van rainbow tables. Dunstan heeft een Python-script online gezet waarmee geprobeerd kan worden om de hashes in OS X Lion te kraken.

Dunstan is nog meer problemen in Lion tegengekomen. Zo is het mogelijk om in de directory services het wachtwoord voor de huidige ingelogde gebruiker te wijzigen zonder dat er om authenticatie wordt gevraagd. Dit is een potentieel beveiligingsprobleem als bijvoorbeeld een ingelogde gebruiker een terminalscherm onbeheerd open laat staan.

Het is nog niet duidelijk of Apple de genoemde gaten op korte termijn zal dichten. Vorige week bracht het bedrijf een patch uit waarmee ssl-certificaten van DigiNotar in OS X en Safari niet langer als betrouwbaar worden beschouwd. Daarmee was Apple het laatste grote bedrijf die dit probleem aanpakte.

Door Dimitri Reijerman

Redacteur

19-09-2011 • 11:56

81 Linkedin Google+

Submitter: TimeVortex

Reacties (81)

Wijzig sortering
Lion heeft nog een ander probleem: bij LDAP wordt bij authenticatie enkel gecontroleerd of de gebruikersnaam bij het domein bekend, je kunt elk welk willekeurig wachtwoord in het wachtwoord veld opgeven en je kunt aanmelden op de client. (zelf ondervonden)

Link: http://www.theregister.co...c_osx_lion_security_hole/

[Reactie gewijzigd door ieperlingetje op 19 september 2011 12:21]

hmmm, ik kan dat probleem toch echt niet reproduceren op mijn setup. Misschien als de gebruiker waar je mee inlogt ook als OD administrator te boek staat, maar normale gebruikers lukt 't mij niet mee.
Dit is een potentieel beveiligingsprobleem als bijvoorbeeld een ingelogde gebruiker een terminalscherm onbeheerd open laat staan.
Dat is per definitie een beveiligingsprobleem, als een gebruiker z'n scherm onbeheerd achter laat zonder de screensaver (OID) te activeren / te locken.

Fysieke toegang is in alle gevallen een issue, als je mensen binnenlaat die je niet kunt vertrouwen.
Helemaal correct. Echter kan ik hier in linux mijn /etc/shadow niet dumpen. Stel dat je remote op een linux server ssh toegang hebt als user "pietje" voor werkzaamheden die je toegewezen zijn. Dan is het niet netjes dat de gebruiker "pietje" de crypted passwords mag inzien van anderen. En daar heeft het principe "fysieke toegang" helemaal niks mee te maken.
Helemaal waar, en aangezien er ook Mac OS X Lion servers draaien, is dit wel degelijk een reeel risiso.

Op mijn macbook staat ook de SSH service aan en heeft een vriend van mij toegang met z'n eigen account, ik zou het niet fijn vinden als hij mijn wachtwoorden kon uitlezen (wat hij in theorie nu dus kan). ;)

[Reactie gewijzigd door JapyDooge op 19 september 2011 13:17]

Het minimale wat er iig in zou moeten zitten is dat je bij het wijzigen van een wachtwoord, het oude wachtwoord in moet vullen...
Vanuit een ander account heb je inderdaad het oude wachtwoord nodig. Maar vanuit de dezelfde gebruiker kun je het wachtwoord zonder het oude wachtwoord in te vullen het wachtwoord veranderen. Dit staat ook in het artikel van de hacker.

Ik vindt dat Apple hier ook een patch moet voor uitbrengen zodat, zoals jij zei, er om het oude wachtwoord wordt gevraagd. Ook al is het dezelfde gebruiker.
Fysieke toegang verlenen aan personen die je niet vertrouwt is natuurlijk één ding, maar toch klopt het inderdaad niet dat dit mogelijk mag zijn.

Ik heb nagegaan of het werkt zoals beschreven, en dat doet het ook op mijn Mac OS X 10.7.1 (Build 11B26). Geen FUD dus, maar ook geen gapend beveiligingsgat. Toch hoop ik op een snelle fix. Zelfs indien het op zich niet misbruikt kan worden, is het toch nog steeds een verzwarende omstandigheid wanneer een ander deel van de beveiliging (deels) gecompromitteerd wordt.

Edit:
DT-fout :X

[Reactie gewijzigd door M0N0 op 19 september 2011 13:12]

Veel mensen verlenen die toegang zonder er echt bij stil te staan. simpelweg door hun machine onbeheerd (lees: niet vergrendeld) achter te laten op kantoor of onderwijsinstelling. Kijk voor de grap maar eens om je heen.
Het werkt dan ook niet via de normale manier van veranderen. Lees het artikel, daarin staat beschreven hoe je het moet doen (namelijk via de directory services).
In de "directory services" blijkbaar niet, volgens het artikel.

Edit: Dead Pixel legt het beter uit.

[Reactie gewijzigd door Aham brahmasmi op 19 september 2011 12:37]

[...]


Dat is per definitie een beveiligingsprobleem, als een gebruiker z'n scherm onbeheerd achter laat zonder de screensaver (OID) te activeren / te locken.
Dat klopt dat geldt voor ieder OS.

Maar wat niet geldt voro ieder OS is;
dat elke gebruiker in OS X Lion de ShadowHashData-bestanden van een willekeurige andere gebruiker kan opvragen
en
Zo is het mogelijk om in de directory services het wachtwoord voor de huidige ingelogde gebruiker te wijzigen zonder dat er om authenticatie wordt gevraagd.
Bij iedere andere *nux varianten moet je al niet root gebruiker (uid 0) altijd eerst je oude wachtwoord in typen.


Als je shadow passwordfile world rendabele is is OSX wel erg ver terug gegaan in de tijd.
Maar het is zo snel gebeurd. Heb er ooit zelf een collega voor gewaarschuwd om nog geen 2 dagen later zelf in de fout te gaan. Collegas waren met mijn account informatie aan het opvragen waar ze geen recht toe hadden omdat ik vergeten was de PC te vergrendellen.
Bij mij is het zo'n gewoonte geworden dat ik mijn pc zelfs thuis vaak lock. Is een extra handeling geworden bij het opstaan :)
In combinatie met bv een remote browser of SSH exploit is dit wel degelijk gevaarlijk. Daarom heet het artikel ook "Defence In Depth".

[Reactie gewijzigd door Dreamvoid op 19 september 2011 12:08]

normaal gezien heb je een paswoord nodig voor belangrijke dingen te wijzigen, als je natuurlijk dit paswoord eerst zelf kan instellen (zonder het oude in te geven), dan kan je nadien alles wijzigen/doen wat je wil...
Dit is natuurlijk gewoon een beveiligings issue, toch vind ik het knap dat sommige mac gebruikers het nog goed praten ook... Je kunt toch gewoon snappen dat dit een risico is voor eventuele Macs die aan een netwerk gekoppeld zijn binnen een bedrijf?

Kwalijke zaak als je het mij vraagt.
Het gaat om proportionaliteit, ik vind de AD/ldap nog niet zo'n issue (overigens neem ik het aan dat het over ldap op osx server hebben, anders is het geen osx probleem), wel het feit dat je als gewone gebruiker bij de hashed shadowpasswords kunt komen.

wederom, niet echt vergelijkbaar met <insert random windows root exploit>

Overigens zijn al die apple fanboys die niet willen inzien dat alle software bugs bevatten net zo erg als al die windows fanboys die dit soort nieuws als een soort rechtvaardiging van de problemen op windows zien.
als een kwaadwillende fysieke toegang heeft tot je computers en netwerk, ben je sowieso de sigaar, daar bestaat haast geen bewapening tegen.

(of liever: die bestaat wel, maar vrijwel niemand implementeerd dat, omdat het veel te moeilijk is voor de beheerders)
Ik vind het raar, dat er dan nu op die plaatsen beveiligings gaten zijn, terwijl dat in oudere versies nog niet was. Mijn mening is dat de makers van OS X Lion het dan gewoon te snel hebben af geraffeld.
ja osx word groter en dan moet alles sneller ,,
waar ze jaren op microsoft windows aan zeiken waren komen ze nu zelf in die situaties ,,
het groeien van een product gaat nooit zonder gevolgen
Dat valt nu ook wel weer mee, Apple gaat vooral prat op het niet aanwezig zijn van echte virussen, dit soort zaken zijn vaker voorgekomen en inherent aan het maken van een complex OS. Het gevaar wat hier wordt beschreven is nog behoorlijk beperkt en wordt waarschijnlijk tijdig gepatched... alleen maar goed dit werk!
Als ik dan vervolgens dat artikel leest wat jij aanhaalt, is de reden dat Apple dat doen aanraadde:
Een virusscanner is volgens Apple nodig, zodat programmeurs van virussen om meer dan een programma heen moeten om het systeem binnen te dringen, zodat het lastiger wordt om een virus te schrijven voor Mac Os X.
De reden waarom een virusscanner wordt aangeraden door Apple is dus niet de aanwezigheid van virussen, maar een extra soort beveiliging (de virusscanner) om mensen ervan te weerhouden virussen te schrijven voor OS X.

En als je de comments van dat artikel leest, of überhaupt op internet even gaat zoeken naar desbetreffende programma's dan komt het er op neer dat de virusscanners vooral op zoek zijn naar virussen voor het Windows OS (wat in principe niks met OS X te maken heeft, hoewel het er natuurlijk niet thuis hoort in je OS X).

Over virussen gesproken, heb je een bron voor mij waarin wordt aangetoond dat die er daadwerkelijk zijn voor OS X?

Malware is er overigens wel, hetzij gelukkig niet veel.

Natuurlijk moet Apple deze kwetsbaarheden zo snel mogelijk herstellen, dit mag niet mogelijk zijn.
Hoe zit het met FileVault? Als je dat aan hebt staan is de beschreven hackmethode nog steeds toepasbaar?
Ja, dat staat hier volledig los van.
Het probleem is dat de gebruiker het zelf ook kan hier.
Dit lukt je onder bijv. Windows niet, daar zul je toch echt je oude wachtwoord moeten opgeven.
beter gezegd: iedereen met voldoende rechten
Daar zeg je het precies. hier kan iedere gebruiker het van zijn eigen account zonder het oude wachtwoord in te voeren.
Ik zie het probleem bij die directory services-vulnerability dus ook niet.
Deze zijn niet vulnerable want je moet een gebruiker zijn met bepaalde rechten. Die rechten leg je zelf vast c.q. je moet dit zelf veranderen standaard kan alleen root dit.
de echte vulnerability lijkt hem te zitten in het kunnen zien van de shadow hash. Het zonder password kunnen wijzigen van een user pass is nog steeds een vervelende flaw, dat hoort een user mijns inziens niet op die manier te kunnen (een admin dan weer wel maar dat kan ook allang).

Kortom: elke user (of iemand met toegang tot de desktop van die user, al dan niet fysiek) kan zonder het bestaande password te weten het password van een user wijzigen. Dat wordt een pijnlijke dag voor Apple als iemand een succesvol stukje malware bouwt dat dit lek misbruikt..

"Duizenden Mac-gebruikers buitengesloten door malware." <-- zoiets? :+
Bij de OSX implementatie van OpenLDAP kan een niet Admin dat ook. En dat is het verschil.
Elk systeem heeft wel zo zijn zwakheden op SOHO basis denk ik zo ?

Wil je gewoon echt zeker zijn van je veiligheid dan ben je hier verantwoordelijk voor net zoals in het echte leven, een virus word vaak veroorzaakt door gebruikers zelf,
Nee. Als een gebruiker het kan doen, dan betekend het dat een applicatie dit ook kan doen. Dat hoort niet te kunnen, als een applicatie wil rommelen in het systeem zelf hoort het toestemming van de gebruiker te hebben dmv het wachtwoord. Dit onderzoek van deze meneer is dus helemaal prima. Het wil niet zeggen dat Lion zo lek als een mandje is, maar dat er wel zeker zwakheden zijn.
Nee. Als een gebruiker het kan doen, dan betekend het dat een applicatie dit ook kan doen.
Dit is helemaal niet zo. Een gebruiker kan dit doen in een terminalvenster met root-rechten. In Mac OS X hebben programma's standaard geen root-rechten en moet dan dus wel eerst het wachtwoord ingevoerd worden. En je moet toch wel erg dom zijn om een programma root rechten te geven als het programma niet betrouwbaar is.

Desalniettemin zal Apple toch even een update moeten uitbrengen dat bij het veranderen van het wachtwoord sowiso het oude wachtwoord wordt gevraagd, maar echt hoog lijkt me dit beveiligingsrisico niet..
Heb je het artikel gelezen? Je hebt in dit geval dus geen root-rechten nodig om het password te wijzigen. Wanneer een gebruiker zijn Mac onbeheerd achterlaat is het dus een kwestie van een terminal openen (geen extra rechten nodig) en via die terminal de Directory Services aanspreken en vervolgens danwel de SHA512+4 hash kapen, danwel het password wijzigen.

Dit is een stuk eenvoudiger dan de procedure die normaal nodig is om (met fysieke toegang) het password te wijzigen, namelijk: booten in single user mode, of booten van install media. Daarnaast zijn deze 2 laatste methoden redelijk af te vangen door het gebruiken van een firmware password. Ook dat is in dit geval niet nodig.
De vergelijking zou kloppen als je de sleutels van de auto niet in de auto achterlaat, en dat mensen er toch met je auto vandoor blijken te kunnen gaan. Terwijl je dacht dat het risico kleiner was (en uit voorzorg had je je zonnebril en telefoon mee naar binnen genomen).
De verglijking klopt pas als je de sleutels wel meeneemt maar de auto niet op slot doet en daarna blijkt dat er mensen de auto in konden en de auto konden starten na een paar handelingen die auto-dieven kennen.. Doe verstandig en doe je auto steeds op slot, net als je mac..
Niet dat ik geen Windows Of Mac fan boy ben. Maar toch moet ik de bug(s) zeer nuanceren. Het is een nieuwe fout in het laatste product. En daarbij niet direct van buiten af exploiteerbaar. Een in het veld gevonden exploit die 10 jaar oude code gebruikt. En dus reeds 10 jaar schade kon veroorzaken is vele male erger.

desalniettemin is zeker de ontbrekende gebruikers authenticatie op directory services erg slordig. Omdat dit niet eens een exploit is maar niet functionerende code.

[Reactie gewijzigd door daft_dutch op 19 september 2011 13:24]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True