MacOS High Sierra Security Bug ermöglicht Root Login ohne Passwort, hier ist ein Fix

Mit macOS High Sierra wurde eine erhebliche Sicherheitslücke entdeckt, die es jedem Benutzer ermöglicht, sich ohne Passwort bei einem Mac mit vollständigen Root-Verwaltungsfunktionen anzumelden.

Dies ist ein dringendes Sicherheitsproblem, und während ein Software-Update eintrifft, um das Problem bald zu lösen, wird dieser Artikel ausführlich beschreiben, wie Sie Ihren Mac vor dieser Sicherheitslücke schützen können.

Wichtiges Update: Apple hat das Sicherheitsupdate 2017-001 für macOS High Sierra veröffentlicht, um den Root-Login-Fehler zu beheben, lade ihn jetzt herunter. Wenn du macOS High Sierra betreibst, lade das Update so schnell wie möglich auf deinen Mac herunter.

Was ist der Root-Login-Bug und warum ist das wichtig?

Für einen schnellen Hintergrund erlaubt das Sicherheitsloch einer Person, root als Benutzernamen einzugeben und sich dann sofort als root auf dem Mac anzumelden, ohne ein Passwort. Die kennwortlose Root-Anmeldung kann direkt bei einem physischen Computer im allgemeinen Benutzeranmeldungsbildschirm beim Systemstart erfolgen, in den Systemeinstellungen, die normalerweise eine Authentifizierung erfordern, oder sogar über VNC und Remote-Anmeldung, wenn die letzten beiden Remotezugriffsfunktionen aktiviert sind. Jedes dieser Szenarien ermöglicht dann vollständigen Zugriff auf die MacOS High Sierra-Maschine, ohne jemals ein Passwort zu verwenden.

Ein Root-Benutzerkonto bietet den höchsten Systemzugriff, der auf einem MacOS oder jedem Unix-basierten Betriebssystem möglich ist. Root gewährt zusätzlich zu uneingeschränktem Zugriff auf Komponenten oder Dateien auf Systemebene alle Funktionen von administrativen Benutzerkonten auf dem Rechner.

Zu den Mac-Benutzern, die von dem Sicherheits-Bug betroffen sind, gehören alle, die macOS High Sierra 10.13, 10.13.1 oder 10.13.2 Betas laufen lassen, die zuvor das root-Konto nicht aktiviert oder das Passwort für das root-Benutzerkonto auf dem Mac geändert haben Mac-Benutzer, die High Sierra ausführen.

Klingt schlecht, oder? Es ist, aber es gibt eine ziemlich einfache Problemumgehung, die diesen Sicherheitsfehler verhindert, ein Problem zu sein. Alles, was Sie tun müssen, ist ein Root-Passwort auf dem betroffenen Mac zu setzen.

Wie verhindert man Root-Login ohne ein Passwort in MacOS High Sierra

Es gibt zwei Möglichkeiten, Root-Login ohne Passwort auf einem MacOS High Sierra-Rechner zu verhindern. Sie können das Directory Utility oder die Kommandozeile benutzen. Wir werden beide abdecken. Das Verzeichnisdienstprogramm ist für die meisten Benutzer vielleicht einfacher, da es vollständig über die grafische Oberfläche auf dem Mac ausgeführt wird, während der Befehlszeilenansatz textbasiert ist und allgemein als komplexer betrachtet wird.

Verwenden von Directory Utility zum Sperren von Root

  1. Öffnen Sie Spotlight auf dem Mac, indem Sie Befehl + Leertaste drücken (oder klicken Sie auf das Spotlight-Symbol in der oberen rechten Ecke der Menüleiste) und geben Sie "Directory Utility" ein und drücken Sie die Eingabetaste, um die App zu starten

  2. Klicken Sie auf das kleine Schlosssymbol in der Ecke und authentifizieren Sie sich mit einem Login für ein Administratorkonto

  3. Nun öffne das "Bearbeiten" Menü und wähle "Root Passwort ändern ..." ***

  4. Geben Sie ein Passwort für das root-Benutzerkonto ein und bestätigen Sie, klicken Sie dann auf "OK"

  5. Schließen Sie das Verzeichnisdienstprogramm

*** Wenn das Root-Benutzerkonto noch nicht aktiviert ist, wählen Sie "Root-Benutzer aktivieren" und legen Sie stattdessen ein Passwort fest.

Im Wesentlichen wird nur ein Passwort für das root-Konto vergeben. Das bedeutet, dass für die Anmeldung mit root ein Passwort erforderlich ist. Wenn Sie root auf diese Weise kein Passwort zuweisen, akzeptiert ein Mac OS High Sierra-Computer erstaunlicherweise eine root-Anmeldung ohne Passwort.

Verwenden der Befehlszeile zum Zuweisen eines Root-Passworts

Benutzer, die lieber die Befehlszeile in macOS verwenden möchten, können auch ein root-Passwort mit sudo und dem regulären alten passwd-Befehl festlegen oder zuweisen.

  1. Öffnen Sie die Terminal-Anwendung, die Sie in / Applications / Utilities / finden.
  2. Geben Sie die folgende Syntax genau in das Terminal ein und drücken Sie die Eingabetaste:

    3. sudo passwd root

  3. Geben Sie Ihr Administratorkennwort ein, um sich zu authentifizieren, und drücken Sie die Eingabetaste
  4. Geben Sie unter "Neues Passwort" ein Passwort ein, das Sie nicht vergessen, drücken Sie Return und bestätigen Sie es

Stellen Sie sicher, dass Sie das root-Passwort auf etwas festlegen, an das Sie sich erinnern werden, oder vielleicht sogar auf Ihr Administrator-Passwort.

Woher weiß ich, ob mein Mac vom Passwort-freien Root-Login-Fehler betroffen ist?

Es scheint, dass nur Mac OS High Sierra Maschinen von diesem Sicherheitsfehler betroffen sind. Der einfachste Weg zu überprüfen, ob Ihr Mac für den Root-Login-Fehler anfällig ist, besteht darin, sich als Root ohne Kennwort zu versuchen.

Sie können dies über den allgemeinen Start-Anmeldebildschirm oder über ein beliebiges Admin-Authentifizierungsfenster (durch Klicken auf das Schlosssymbol) in den Systemeinstellungen wie FileVault oder Benutzer und Gruppen durchführen.

Geben Sie einfach "root" als Benutzer ein, geben Sie kein Passwort ein und klicken Sie zweimal auf "Unlock". Wenn sich der Fehler auf Sie auswirkt, werden Sie als root oder als root-Benutzer angemeldet. Sie müssen zweimal auf "Entsperren" klicken, wenn Sie zum ersten Mal auf die Schaltfläche "Entsperren" klicken, wird das root-Konto mit einem leeren Kennwort erstellt und beim zweiten Klicken auf "Entsperren" wird der vollständige Root-Zugriff zugelassen.

Der Bug, der im Grunde ein 0day-Root-Exploit ist, wurde zuerst von @lemiorhan in der Öffentlichkeit auf Twitter gemeldet und erlangte aufgrund der möglichen Schwere des Einflusses schnell Aufmerksamkeit und Aufmerksamkeit in den Medien. Apple ist sich des Problems bewusst und arbeitet an einem Softwareupdate, um das Problem zu beheben.

Hat der Root-Login-Fehler Auswirkungen auf macOS Sierra, Mac OS X El Capitan oder vorher?

Der paßwortlose Root-Login-Bug scheint sich nur auf macOS High Sierra 10.13.x auszuwirken und wirkt sich nicht auf frühere Versionen der Mac OS X- und Mac OS X-Systemsoftware aus.

Wenn Sie root zuvor über die Befehlszeile oder das Directory Utility aktiviert oder das root-Passwort zu einem anderen Zeitpunkt geändert hatten, würde der Fehler auf einem solchen macOS High Sierra-Rechner nicht funktionieren.

Denken Sie daran, Apple ist sich dieses Problems bewusst und wird in naher Zukunft ein Sicherheitsupdate veröffentlichen, um den Fehler zu beheben. In der Zwischenzeit, tun Sie sich selbst einen Gefallen und setzen oder ändern Sie das Root-Passwort auf Macs mit macOS High Sierra, um sie vor unbefugtem Zugriff auf das Gerät und alle seine Daten und Inhalte zu schützen.