Säkerhetshål i Remote Desktop

Tråden skapades och har fått 33 svar. Det senaste inlägget skrevs .

Enligt Slashdot kan en användare i ett Mac OS X-system få root-behörighet på grund av ett säkerhetshål i Remote Desktop. Detta gäller även om du inte kör Server och inte använder Remote Desktop.

Enligt kommentarerna kan man själv åtgärda detta genom att köra följande kommando i Terminal: (en rad)
chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

Slashdot | Mac OS X Root Escalation Through AppleScript

-- Ett tips från http://www.99.se/tipsa/ --

Senast redigerat 2008-06-20 10:29

Det var ju inte alls kul. Tur för mig att info om detta kom just nu då det är sommarlov och jag ska ominstallera alla datorer på skolan jag jobbar på. Eleverna har redan kört ett antal hax för att skaffa sig root-behörighet som jag varit tvungen att parera.

Troligtvis inte, men kalle 15 år tycker att sådant här är kul.

  • Medlem
  • Stockholm
  • 2008-06-19 21:59

Det är när jag läser sådant där som jag är glad och nöjd att jag inte har med användare att göra

Vill man kan ju även detta användas om man inte vill skriva in sitt lösenord:
osascript -e 'tell app "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"'

Hm, det har sina risker att hänga här. Man lär sig mycket kul men får också reda på allt konstigt som kan hända en dator.
Vågar inte ge mig in på detta. Hur troligt är det att något vajsing:( händer om jag inte gör det på en skala från 1-100 ? Använder bara datorn själv, utlånad några få tillfällen till en vän.

  • Medlem
  • Stockholm
  • 2008-06-20 21:25
Ursprungligen av KaRo:

Hm, det har sina risker att hänga här. Man lär sig mycket kul men får också reda på allt konstigt som kan hända en dator.
Vågar inte ge mig in på detta. Hur troligt är det att något vajsing:( händer om jag inte gör det på en skala från 1-100 ? Använder bara datorn själv, utlånad några få tillfällen till en vän.

För att utnytja "hålet" så måste man ha tillgång till datorn, så om du är enda användaren är du enda hotet mot dig själv

Bra ! Så då är risken bara 1 på 100.
Om jag inte plötsligt börjar gå i sömnen och går in och kraschar min egen dator förstås;)

  • Medlem
  • International user
  • 2008-06-22 00:20
Ursprungligen av ntity:

För att utnytja "hålet" så måste man ha tillgång till datorn, så om du är enda användaren är du enda hotet mot dig själv

Njae, det är väl inte riktigt rätt? Såg ett par snubbar som ganska framgångsrikt håller på att koda en trojan som utnyttjar just det här hålet för att dra igång ssh servern, lura användaren på dennes lösenord och sen skicka iväg all info till en databas så att hackern vid ett senare tillfälle kan komma in på datorn. Visst, användaren måste ju fortfarande köra programmet själv men det går det ju att lura folk till att göra.

Ursprungligen av shandar:

Såg ett par snubbar som ganska framgångsrikt håller på att koda en trojan som utnyttjar just det här hålet.....

Om du nu såg ett par snubbar göra detta så hoppas jag att du påpekade för dem att det är väldigt dumt och elakt att syssla med sådant.

  • Medlem
  • International user
  • 2008-06-22 00:30
Ursprungligen av Martin Pettersson:

Om du nu såg ett par snubbar göra detta så hoppas jag att du påpekade för dem att det är väldigt dumt och elakt att syssla med sådant.

Det var en random länk jag hittade på slashdot till ett forum ägnat åt just hacking av OS X, tror inte de hade brytt sig så mycket om jag sa att de var dumma och elaka månniskor Och eftersom det var på /. lär det inte vara speciellt hemligt längre så finns nog ingen anledning att oroa sig för dem iaf. Däremot är det ju ett bevis på att det inte är ett helt ofarligt säkerhetshål.

  • Medlem
  • Stockholm
  • 2008-06-22 16:06
Ursprungligen av shandar:

Njae, det är väl inte riktigt rätt? Såg ett par snubbar som ganska framgångsrikt håller på att koda en trojan som utnyttjar just det här hålet för att dra igång ssh servern, lura användaren på dennes lösenord och sen skicka iväg all info till en databas så att hackern vid ett senare tillfälle kan komma in på datorn. Visst, användaren måste ju fortfarande köra programmet själv men det går det ju att lura folk till att göra.

Det finns redan ute trojaner som utnyttjar detta hålet (och andra sedan tidigare) men som vanligt med dessa så måste man manuelt ladda ner dem, starta dem och knappa in sitt admin lösenord så jag räknar inte riktigt dessa som hot.

Personligen tycker jag det är så att man får skylla sig själv om man nu lyckas få en av dessa på maskinen om man inte har småbarn eller något liknande som klickar på allt som blinkar..

Ursprungligen av ntity:

Det finns redan ute trojaner som utnyttjar detta hålet (och andra sedan tidigare) men som vanligt med dessa så måste man manuelt ladda ner dem, starta dem och knappa in sitt admin lösenord så jag räknar inte riktigt dessa som hot.

Fast om de utnyttjar det här hålet ska man knappast behöva skriva in ett adminlösenord, då det hålet gör är att det ger root-rättigheter utan att man måste skriva in sitt lösenord. Därav fungerar den alternativa metoden en bit upp, som genom att utnyttja hålet kan utföra uppgifter som annars hade krävt att man även skrev in sitt lösenord, precis vad lostdetective insåg.

  • Medlem
  • International user
  • 2008-06-22 18:45
Ursprungligen av ntity:

Det finns redan ute trojaner som utnyttjar detta hålet (och andra sedan tidigare) men som vanligt med dessa så måste man manuelt ladda ner dem, starta dem och knappa in sitt admin lösenord så jag räknar inte riktigt dessa som hot.

Att man måste ladda ner och starta ett program som visar sig göra något annat är definitionen av en trojan, annars hade det varit ett virus De utgör ett rätt ordentligt hot, speciellt eftersom det inte är så svårt att få dem att hänga med ett riktigt program. Tänk om någon ändrar länken för ex Candybar på Version Tracker till en modifierad version som har en trojan med i .app-en. Relativt svårt att upptäcka att någon har fifflat med filen och ingen hade blivit speciellt förvånad om "Candybar" hade frågat efter lösenord då den startade första gången. Visst, det hade inte spridit sig inte över hela världen som ett virus, men ibland är det inte det folk är ute efter, bara att få tillgång till en dator är nog i många fall. Kort och gott virus är virus, poängen är att spridas över hela världen och samla ihop så många kreditkortsnummer eller orsaka så mycket skada som möjligt. Trojaner däremot är snarare till för punktattacker, det är en viss dator du vill in i.

Tänk dig vad lätt det hade varit att lura någon i en lite känsligare position (politiker, chefer you name it) till att köra ett sånt program, sen har du full tillgång till dennes epost och filer. Som synts redan på nätet är det relativt enkelt att skriva ihop något sådant, speciellt om du inte ens behöver admin-rättigheter (vilket är fallet för Mail's databaser och en användares hem-mapp).

  • Medlem
  • International user
  • 2008-06-21 16:49
Ursprungligen av Marcus K:

Vill man kan ju även detta användas om man inte vill skriva in sitt lösenord:
osascript -e 'tell app "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"'

Haha, den var ju lite skön

Ursprungligen av shandar:

Haha, den var ju lite skön

Som att såga av grenen man själv sitter på!

Hur gör man? Jag ha skrivit in "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent" i terminal men jag får "Operation not premitted"

  • Medlem
  • Stockholm
  • 2008-06-21 21:40
Ursprungligen av lostdetective:

Hur gör man? Jag ha skrivit in "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent" i terminal men jag får "Operation not premitted"

Skriv "sudo" före, sedan frågar den om admin lösen. Du måste vara admin för att at bort suid biten på programmet.

Hrmm, idag när jag startade Apple Remote Desktop Admin på min dator så blev ARD-agent nipprig och tuggade 135% av processorn. Så var det inte i förra veckan och det enda jag har gjort är att köra terminal-tricket ifrån denna tråd.
Så länge man inte startar administrerings-programmet Remote Desktop så håller sig ARD-agent lugn och fin. Någon annan som upplever samma sak eller är det ett olyckligt sammanträffande?

Upptäckte en sak till. Fick inte vissa funktioner (System Overview) i Remote Desktop Admin att fungera efter terminal-tricket. Så jag reparerade behörigheterna på min dator så att det återställde ARD. Då slutade ARDagent att äta processor och System Overview fungerade snällt.
Så om man kör Remote Dekstop Admin så är det nog klokt att hålla tassarna borta från detta tips och hoppas att Apple kommer med en lösning.

  • Medlem
  • Skövde
  • 2008-06-23 16:58
Ursprungligen av Martin Pettersson:

Upptäckte en sak till. Fick inte vissa funktioner (System Overview) i Remote Desktop Admin att fungera efter terminal-tricket. Så jag reparerade behörigheterna på min dator så att det återställde ARD. Då slutade ARDagent att äta processor och System Overview fungerade snällt.
Så om man kör Remote Dekstop Admin så är det nog klokt att hålla tassarna borta från detta tips och hoppas att Apple kommer med en lösning.

Hur reparerar man det da?

Men hjälp av programmet "Skivverktyg" kan du reparera behörigheter. Programmet ligger i mappen "Verktygsprogram" som finns i Program-mappen.

Man tror inte sina ögon...
Jag begriper inte det tekniska aspekterna av detta men som jag tolkar det har detta hålet funnits sen 10.2!! Det har dessutom påpekats till apple ett flertal gänger under årens lopp.

Jag undrar på vilket sätt DU tycker apple borde svara för detta!

It's Not New It Starts with 10.2 — Industry Watch

Mitt förtroende för apple "säkerhet" är i absoluta botten. Snälla kom inte och dragande med hur osäkert eller inte osäkert windows är... jag bryr mig inte jag kör osx och nu vill jag banna mig att säkerhets frågan om osx tas upp och seriöst ställer apple mot väggen så de tar frågan på allvar framöver, vilket uppenbart inte är fallet i dag.

Någon här som kan skriva ett program (GUI) som fixar dessa suid grejer så man åtmistone har de ur vägen?

Till särskrivnings polisen- Catch me if you can

Ursprungligen av cubeuser_vol2:

Man tror inte sina ögon...
Jag begriper inte det tekniska aspekterna av detta men som jag tolkar det har detta hålet funnits sen 10.2!! Det har dessutom påpekats till apple ett flertal gänger under årens lopp.

Aj då, det var ju ingen höjdare direkt.

Ursprungligen av cubeuser_vol2:

Mitt förtroende för apple "säkerhet" är i absoluta botten. Snälla kom inte och dragande med hur osäkert eller inte osäkert windows är... jag bryr mig inte jag kör osx och nu vill jag banna mig att säkerhets frågan om osx tas upp och seriöst ställer apple mot väggen så de tar frågan på allvar framöver, vilket uppenbart inte är fallet i dag.

Min uppfattning är att Apple varit rätt duktiga på säkerhetsfixar på senare tid, dom har varit hyfsat snabba och dom har varit tydliga med att ge credit till vem rapporterat problemet. Tidigare var det väl inte lika bra, kanske därför ett sådant säkerhetshål kunde hänga med så länge (det är ingen ursäkt för det inträffade, bara en spekulation om orsaken).

I ljuset av detta tycker jag tanken med 10.6 "Snow Leopard" låter extra bra, att fokusera på stabilitet och säkerhet istället för nya flashiga finesser.

  • Medlem
  • Skellefteå
  • 2008-06-27 12:42
Ursprungligen av cubeuser_vol2:

Mitt förtroende för apple "säkerhet" är i absoluta botten. Snälla kom inte och dragande med hur osäkert eller inte osäkert windows är... jag bryr mig inte jag kör osx och nu vill jag banna mig att säkerhets frågan om osx tas upp och seriöst ställer apple mot väggen så de tar frågan på allvar framöver, vilket uppenbart inte är fallet i dag.

Även om jag kanske inte har riktigt samma höga tonläge som du har så håller jag med. Apple marknadsför Mac OS X som ett säkert operativsystem, och det är det också, men från tid till annan så finns det grund för att fundera över hur säkert operativsystemet egentligen är och om Apple och Mac OS X verkligen har satts på riktigt hårda prov, ännu.

Buggfixar släpps utan förvarning - det kommer stora kunder aldrig acceptera.
Buggfixar släpps med knapphändig information om vad som ändrats och rättats till - det kommer stora kunder aldrig att acceptera.

Nu kan ju Apple ha någon egen informationskanal till sina större kunder men i en jämförelse så har Microsoft kommit längre när det handlar om att distribuera buggfixar och tillhandahålla information.

Avslutningsvis har du alldeles rätt i att säkerhetsproblemen i Windows är fullständigt oväsentliga. Mac OS X blir inte bättre för att det finns säkerhetshål i Windows.

Dino Dai Zovi (som vann en MacBook Pro i en tävling att hacka Mac OS X) skriver om detta:

While Intego calls this a critical vulnerability, I’m mostly with Matasano’s Thomas Ptacek on this one where I am saying this vulnerability is not nearly that serious. For one, it only works when it is run as the user who is logged into the console. This means that no Mac OS X servers are affected by this, but it can allow a Web exploit or Trojan horse to gain root access without the user’s knowledge or permission. Also while root access is pretty serious, it is not necessary in order for the malware to do bad things to your system (i.e. install itself to run automatically, backdoor Safari, etc.) So I will dub this a serious, but not critical, vulnerability.

Läs mer här om detta och vad han tycker att Apple ska göra i Snow Leopard: How Snow Leopard can save Mac OS X from malware attacks

  • Medlem
  • Gävle
  • 2008-07-01 11:14

Detta säkerhetshål upptäcktes på forumet MacShadows.com. I samma diskussion på samma forum så postades även en trojan (eller om man ska vara noga en mall för att skapa trojaner). Kortfattat kan man ju säga att det inte är första gången som grabben skapar en trojan till Mac — det är mycket utstuderat och eftertänksamt gjort, trojanen deaktiverar systematiskt virusskydd, little snitch, gör hål i brandväggen, etc.

Trojanen (eller trojan-mallen): remote login Trojan - TSF - Mac Security Forums

Senast redigerat 2008-07-01 11:27
  • Medlem
  • Stockholm
  • 2008-07-01 14:27

Kan någon som har mer koll än jag bekräfta/dementera om detta är fixat i senaste Mac OS X (10.5.4)?

  • Medlem
  • Gävle
  • 2008-07-01 14:54
Ursprungligen av pesc:

Kan någon som har mer koll än jag bekräfta/dementera om detta är fixat i senaste Mac OS X (10.5.4)?

Kan inte dementera eller bekräfta, däremot kan jag visa hur du kollar om ditt system är känsligt eller ej.

Kör följande script i terminalen. Svaret ska vara ditt inloggningsnamn. Står det istället "root" så är du känslig.

osascript -e 'tell application "ARDAgent" to do shell script "whoami"'

Står det såhär så är det med andra ord inte bra alls:

Bevaka tråden