Luka w macOS pozwala na dokonywanie zmian bez hasła

Końcówka 2017 roku nie była zbyt fortunna dla systemu macOS, w którym wykryto kilka dość poważnych luk. W jednym przypadku użytkownik zamiast podpowiedzi do hasła uzyskiwał jego pełną wersję, w innym można było bez wiedzy technicznej uzyskać prawa administratora. Niestety z początkiem roku został wykryty kolejny błąd, który prowadzi do eskalacji uprawnień.

Sprawa dotyczy[1] aktualnej wersji systemu 10.13.2 i prawdopodobnie nie działa na becie 10.13.3 oraz wcześniejszej 10.13.1. Warty odnotowania jest również fakt, że atak ten nie jest tak poważny jak wyżej wymienione, bo zakłada dokonywanie pewnych zmian na zalogowanym koncie administratora, jednak nie wymagają one poprawnej autoryzacji.

Błąd jest widoczny kiedy użytkownik chce dokonać zmian w ustawieniach systemowych AppStore. Domyślnie taka akcja wymaga podania hasła administratora, ale wspomniana wyżej wersja macOS 10.13.2 pozwala na  dokonanie modyfikacji po wpisaniu dowolnej nazwy użytkownika i nawet losowego ciągu znaków jako hasła. Stwarza to ryzyko zmiany ustawień przez niepowołane osoby. Oczywiście wykorzystanie tej podatności jest trudne, bowiem wymaga nie tylko fizycznego dostępu do komputera, ale również zastania go niezablokowanego i zalogowanego na koncie administratora. Jeżeli jednak właściciel oddali się od sprzętu, to jest możliwość dokonania zmian bez znajomości hasła, co z założenia jest luką. Dobrze obrazuje to poniższy film:

Dokonywanie zmian w ustawieniach systemowych AppStore pozwala zarządzać, które aktualizacje mają być instalowane i czy w ogóle instalować aktualizacje bezpieczeństwa. Na chwilę obecną rozwiązania są dwa – nie używać konta administratora jako głównego konta oraz (co powinno się robić zawsze, zwłaszcza jeżeli ktoś pracuje z innymi osobami) blokować ekran gdy odchodzimy od komputera.

[1] https://www.bleepingcomputer.com/news/apple/macos-bug-lets-local-admin-unlock-app-store-system-prefs-with-any-password/