Tai tikriausiai yra didžiausia ir žiopliausia „Apple“ įrangos saugumo klaida įmonės istorijoje: operacinė sistema „macOS High Sierra“ leidžia bet kokiam vartotojui gauti neribotą administratoriaus prieigą prie kompiuterio be jokio slaptažodžio, rašo „Ars Technica“.

Norint tokią prieigą gauti, prisijungimo dialogo langelyje vartotojo vardo eilutėje pakanka įrašyti žodį „root“ (be kabučių) ir tiesiog paspausti enter, paliekant tuščią slaptažodžio eilutę.

Kartais tai nepavyksta iš pirmo bandymo, bet visgi bet koks vartotojas kompiuterį galų gale įsijungia su maksimaliomis „root“ teisėmis. Klaidą „Ars Technica“ žurnalistai sugebėjo atkartoti su 3 skirtingais kompiuteriais. Šios spragos ankstesnėse „macOS“ versijose nebuvo.

Priklausomai nuo to, kokie nustatymai pasirinkti taikiniu tapusiame „Apple“ kompiuteryje, spragą galima išnaudoti keliais būdais. Kai išjungtas viso disko šifravimas, bet koks prašalaitis gali įsijungti pilnai išjungtą „Mac“ kompiuterį ir prisijungti su „root“ teisėmis ir gauti pilną prieigą prie visų kompiuteryje esančių duomenų, su neribotomis nustatymų keitimo galimybėmis. Spragos išnaudojimas nėra įmanomas, kai kompiuteris yra įjungtas, bet ekranas užrakintas ir apsaugotas slaptažodžiu. Jeigu „filevault“ šifravimas yra įjungtas, prisijungus su „root“ slaptažodžiu galima vykdyti kompiuterio sisteminių nustatymų pakeitimus – taip pat išjungti „filevault“ duomenų šifravimą. Taip pat prisijungimas su „root“ teisėmis įmanomas atsijungus iš egzistuojančios kompiuterio paskyros, bet neišjungiant kompiuterio.

Tiesa, žurnalistų išbandyta ir taip pat socialiniuose tinkluose plačiai išnagrinėta „Apple“ saugumo spraga veikia itin nepatikimai, todėl skirtinguose kompiuteriuose gali būti gaunami labai skirtingi bandymo prisijungti rezultatai.

Tad iš esmės galima teigti, kad jeigu šifruojate kompiuteryje esančius duomenis su „filevault“, jūsų duomenys veikiausiai yra saugūs tik tuo atveju, jeigu prieš kompiuteriui patenkant į prašalaičio rankas jį išjungsite. Ekrano užraktas taip pat padeda.

Neribotos privilegijos

Daugiausiai susirūpinimo kelia tai, kad piktybiniai programišiai šią spragą gali išnaudoti siekdami savo programinei įrangai suteikti neribotą kompiuterio ir operacinės sistemos valdymą. Toks privilegijų išplėtimo įsilaužimo būdas tobulėjant „macOS“ sistemai pastaruoju metu vis labiau vertinamas.

Esminis šios sistemos (ir praktiškai visų kitų) saugumo elementas – apriboti kiekvienai įjungiamai programai suteikiamų privilegijų kiekį. Tad jeigu programišiai sugebėtų „Apple“ kompiuteryje su naujausia operacine sistema įvykdyti savo piktybinį kodą, jie galėtų įdiegti bet kokią pačių pageidaujamą įrangą su bet kokiomis privilegijomis, taip pat gauti prieigą prie pačių jautriausių sistemos elementų.

„Atrodo kaip kažkas, ką programišius ar piktybinė programinė įranga galėtų panaudoti daugiapakopės atakos vykdymui“, - sakė kibernetinio saugumo bendrovės „Synack“ saugumo ekspertas Patrickas Wardle'as. Tokiais atvejais programišiai, pasinaudoję viena saugumo spraga, įvykdo piktybinį kodą, kuris, pasinaudodamas kita saugumo spraga išplečia savo privilegijas bei įgyja galimybę vykdyti veiksmus, kurių saugioje sistemoje vykdyti negalėtų.

„Cybereason“ vyriausiasis saugumo tyrėjas Amitas Serperis informavo, kad jo bandymų rezultatai rodo, jog spraga yra „macOS“ komponente com.apple.loginwindow – tai yra vienas iš įrankių vartotojams prisijungti prie savo paskyrų. Ekspertas šios spragos nesugebėjo išnaudoti per „macOS“ terminalo langą, nors „Twitter“ socialiniame tinkle esama pranešimų, kad pavyko prisijungti ir per terminalą. Bet kuriuo atveju, jis pritaria P.Wardle'ui – piktybiniai programišiai šią spragą nesunkiai gali išnaudoti privilegijų išplėtimui.

Ši saugumo spraga smarkiausiai gali pakenkti kompiuteriams, kurių naudotojai per „macOS“ ar trečiųjų šalių teikiamas paslaugas susikūrė nuotolinio ekrano dalijimosi ir kompiuterio valdymo galimybę.

CERT kibernetinio saugumo analitikas Willas Dormanas „Twitter“ tinkle skelbė, kad įjungus nuotolinio prisijungimo galimybes programišiai dėl šios spragos be jokio slaptažodžio prie kompiuterio gali prisijungti ir neturėdami fizinės prieigos prie kompiuterio. Greita interneto paieška leido aptikti daugiau nei 105 tūkst. pažeidžiamų kompiuterių su įdiegta „VNC Remote“ programine įranga. Norint pasitikrinti, ar įjungtas nuotolinis valdymas ar ekrano dalijimasis, vartotojai Sisteminių nustatymų (System Preferences) lange turėtų patikrinti Dalijimosi (Sharing) parinktis.

Informacija apie spragą į viešumą pateko antradienį ryte, kai „Mac“ vartotojas bandė susisiekti su „Apple“ atstovais per „Twitter“:

Spraga, leidžianti be slaptažodžio prisijungti prie kompiuterio su maksimaliomis valdymo teisėmis yra išskirtinė – ir dėl to, kad „Apple“ programuotojai taip smarkiai apsižioplino šios versijos testavimo metu, ir dėl potencialios žalos, kurią gali patirti vartotojai.

Paskutinis kartas, kai „Apple“ padarė panašaus masto klaidą, buvo vadinamoji „goto fail“ klaida, kuri programišiams suteikė nesudėtingą galimybę apeiti TLS duomenų šifravimą. Anuokart „Apple“ savo kritinę klaidą, pavadintą pagal vieną iš kodo, kuriame buvo ši spraga, eilutę, ištaisė per keturias dienas.

Laikinos apsaugos priemonės

„Apple“ atstovai, reaguodami į kilusį triukšmą, išplatino viešą pranešimą:

„Kuriame šios klaidos pašalinimui skirtą programinės įrangos atnaujinimą. Iki to laiko prisijungimą prie „root“ paskyros be slaptažodžio galima blokuoti sukuriant „root“ slaptažodį savo kompiuteryje. Instrukcijas, kaip įjungti „root“ vartotoją ir sukurti jo slaptažodį, rasite šioje svetainėje. Jeigu „root“ vartotojas jau yra sukurtas, užtikrinkite, kad nustatytas slaptažodis nebūtų tuščia eilutė – slaptažodžio nustatymo instrukcijas rasite instrukcijų skyriuje „Change the root password“.

Labai svarbu neišjungti „root“ paskyros – toks veiksmas programišiams leistų vėl ją įsijungti tiesiog įrašant „root“ paskyros pavadinimo laukelyje ir paliekant tuščią slaptažodžio laukelį. Tol, kol nebus išplatintas „macOS“ atnaujinimas, vartotojai turėtų užtikrinti „root“ paskyros saugumą stipriu slaptažodžiu ir laikyti ją įjungtą. Rekomenduojama, kad slaptažodžiai būtų bent 13 simbolių ilgio, sudaryti iš atsitiktinai generuotos skaičių, didžiųjų ir mažųjų raidžių, specialiųjų simbolių sekos. Papildomai saugumą didina „filevault“ duomenų šifravimas.

Komentarai (4)