Apple Remote Desktop mit massiver Schwachstelle

[tharwan]

ok. vllt bin ich ja einfach zu blöd.
wo ist jetzt das Problem. der remote agent ist doch dazu da das ich quasi die GUI eines Benutzers fernsteuern kann, richtig?
Warum genau muss der Agent dazu root rechte haben und was mache ich kaputt wenn ich ihm Benutzer rechte gebe?
(irgendwann gabs mal so nen Spruch es gäbe keine dummen fragen nur dumme antworten… und als präventive Schutzmaßnahme will ich den direkt mal anbringen)

 

[stk]

Moin,

… was mache ich kaputt wenn ich ihm Benutzer rechte gebe?

wie ich weiter oben schon schrub, mag das Programm Apple Remote Desktop dann (aufgrund einer für sich fehlerhaft diagnostizierten ARD-Installation) nicht mehr arbeiten.

Ein mögliches (und sogar recht wahrscheinliches) Szenario in dem Kontext, wäre ein Admin-Rechner, der die Clients eines Netzwerks per ARD ansprechen kann (diese Clients wären alle geschützt, weil für den ARD-Zugriff eingerichet), der jedoch selbst keinen Apple Remote Desktop Zugriff gestattet (was auch i.d.R. nicht ginge, da ARD per default nicht auf eine Rechner langen kann auf dem selbst ARD gerade läuft). Solch ein Rechner wäre ein gefundenes Fressen, erst recht, wenn für diesen Rechner (auch das wäre durchaus denkbar wäre) ein Shellzugriff erlaubt wäre. Über diesen Umweg könnte man in der Tat ein komplettes internes Firmennetz unter seine Fuchtel bekommen!

Gruß Stefan

 

[tharwan]

ok. das gefahren potential war mir schon klar, ich hab nicht verstanden was genau passiert wenn ich das suid bit entsprechen per hand ändere (mal abgesehen davon das es mit rechte reparieren wieder geändert wird). aber wenn dann natürlich ARD/Screensharing nicht mehr funzt ist es natürlich gefrickel, das seh ich ein.

 

[Kernelpanik]

Jaul, aber trotzdem... ein Angrif ist doch nur möglich wenn der Port von ARD im Router geforwarded ist. Oder hab ich was falsch verstanden?

 

[tharwan]

ist nicht das problem eher der ssh port? wenn man von einem angriff von außen ausgeht. ansonsten ist natürlich auch der schon erwähnte angriff via mit script gespicktem download.
ich muss trotzdem noch mal weiter fragen. nehmen wir mal an der Apple Remote Desktop würde mit dem modifizierten Client arbeiten, wäre dann alles gut oder gibt es dann immernoch ein anderes Problem? Muss der Client irgendwas machen wozu er explizit root rechte braucht? oder ist das nur so ne art zwischen schicht die einfach maus und tastatur weiterleitet?

 

[stk]

Moin,

Jaul, aber trotzdem... ein Angrif ist doch nur möglich wenn der Port von ARD im Router geforwarded ist. Oder hab ich was falsch verstanden?

yep - hast Du.

Es muß in eine Möglichkeit geben auf die Shell des anzugreifenden Rechners zu gelangen um dort dem unkonfigurierten ARD-Agent etwas unterzujuxen. Das kann sein entweder:

a) wahlweise vom lokalen Rechner, hier reicht ein kleines Shell- oder AppleScript (hier immer als Trojaner beschrieben) aus - siehe obige Beispiele
b) aus dem internen Netz wenn SSH eingeschaltet ist oder
c) von draussen, sofern der Shellzugriff b) auch noch durch den Router geforwarded wird.

Hab ich dann einen Rechner im Griff, brauche ich keine Portforwards mehr, sondern setze die Anfragen von ihm aus nach draussen ab. Das läßt jeder Router durch. Die Szenarien sind ja auch schon alle beschrieben: verbogener DNS, geöffnete Ports, Spoofing, Sniffing, … das ganze Programm!

Gruß Stefan

 

[MacMark]

…
Es muß in eine Möglichkeit geben auf die Shell des anzugreifenden Rechners zu gelangen um dort dem unkonfigurierten ARD-Agent etwas unterzujuxen. Das kann sein entweder:

Nein. Du mußt in der Lage sein, AppleScript auszuführen. Dafür ist zwingend ein graphisches Login nötig. Ohne aktive GUI funktioniert das nicht. Das Shell-Skript im Exploit packt das AppleScript nur ein.

a) wahlweise vom lokalen Rechner, hier reicht ein kleines Shell- oder AppleScript (hier immer als Trojaner beschrieben) aus - siehe obige Beispiele

Nein, so einfach ist das nicht.
Nur, wenn der User, der das Shell-Skript, das das AppleScript-Kommando absetzt, auch der aktive GUI-User ist.

b) aus dem internen Netz wenn SSH eingeschaltet ist oder
c) von draussen, sofern der Shellzugriff b) auch noch durch den Router geforwarded wird.
…

Nein, so einfach ist das nicht.
Nur, wenn der User, der diesen Angriff von außen macht, bereits als User graphisch eingloggt ist und im Vordergrund in der GUI aktiv ist.

Ich zitiere mich mal von weiter oben: "Per SSH funktioniert es nur, wenn genau der User, der per SSH angemeldet ist, auch eine GUI im Vordergrund laufen hat auf demselben Rechner. Dann bräuchte er jedoch auch kein SSH, weil er ja bereits angemeldet ist."

 

[tharwan]

darf ich nochmal: was wäre jetzt falsch daran würde der ARDagent nur mit den user rechten laufen (mal abgesehen davon das es im moment nicht geht)?…

 

[Arni]

Pokergame=> Trojaner:
Gefährliches Pokerspiel: Sicherheitsdienstleister Intego warnt Mac-OS-X-Anwender vor einem Trojaner, der sich als Kartenspiel tarnt.
http://www.tomshardware.com/de/Trojaner-MacOS-X-Keylogger-PokerGame,news-241207.html

 

[MacMark]

darf ich nochmal: was wäre jetzt falsch daran würde der ARDagent nur mit den user rechten laufen (mal abgesehen davon das es im moment nicht geht)?…

Ich nehme an, daß er root für etwas benötigt und zwar nicht nur im Moment.

Pokergame=> Trojaner:…

"Trojanische Pferde" lassen sich - wie in Deinem Link an Beispielen gezeigt - auch ohne diesen Bug realisieren. Kein System kann davor schützen:
http://www.macmark.de/osx_security.php#trojaner

Ob ein Programm tut, was man glaubt, daß es tut, ist weitgehend Vertrauenssache, es sei denn man sperrt es ein und schaut mal, was passiert:
http://www.macmark.de/osx_terminal.php#sandbox_exec

und untersucht es ein wenig:
http://www.macmark.de/osx_terminal.php#examine

 

[chrisbiolog]

Entschuldigung dass ich als Unix-Unterbelichtete und auch noch Nicht-Sandkastenbesitzerin nochmal so dumm fragen muss: wie könnte ich denn nun feststellen ob sich bei mir ein Trojaner eingenistet hätte? B.

 

[tharwan]

poker gespielt in letzter zeit?

ich fürchte so direkt wirst du das nicht feststellen können. aber wie schon erwähnt passiert einem auch nichts solange man nicht komische sachen macht.
wenn du merkwürdiges verhalten feststellst, sachen gelöscht wurden oder plötzlich dein bankkonto leer ist… wäre das vllt ein grund an einen trojaner zu denken.
btw: wo ist eigentlich der patch?

 

[stk]

Moin,

Nein. Du mußt in der Lage sein, AppleScript auszuführen. Dafür ist zwingend ein graphisches Login nötig. Ohne aktive GUI funktioniert das nicht. Das Shell-Skript im Exploit packt das AppleScript nur ein.

Ah, ok - das hatte ich in der Tat aufgrund des »osascript -e«-Aufrufs falsch verstanden. Ich hab gerade auf meinem Server (der im Anmeldefenster steht) mal den Lackmustest gemacht - es wird der fehlende Windowserver (sprich: es fehlt ein Login in die GUI) angemault. So gesehen sind meine Szenarien in der Tat nicht haltbar.

Entschuldigung dass ich als Unix-Unterbelichtete und auch noch Nicht-Sandkastenbesitzerin nochmal so dumm fragen muss: wie könnte ich denn nun feststellen ob sich bei mir ein Trojaner eingenistet hätte? B.

In dem vor den Spiegel tritts, dir tief in die Augen schaust und dir danach grundehrlich die Frage beantwortest: »Was habe ich in den vergangenen Tagen alles an Dateien runtergeladen, per Mail oder Chat zugesteckt bekommen, dessen Herkunft, Nutzen und Funktion mir nicht vollständig klar sind oder die den Regeln von Katherine Hepburn entsprechen?«

Wenn Deine Antwort darauf aus tiefstem Herzen »Nix!« lautet hast keine Trojaner. Wenn Du das ehrlicherweise nicht so beantworten kannst, solltest Du dein Motto und deine Sig überdenken und mal MacScan und ClamXav eine Blick auf deine Platte werfen lassen.

Gruß Stefan

 

[chrisbiolog]

Ah ja genau also hälst Du MacScan tatsächlich für sinnvoll? Es geht bei mir eher um heruntergeladene Musikdateien über Limewire (download in der schweiz ja erlaubt) und natürlich um die mir angeborene Paranoia. Ich hab da dieses MacAffee Antivirenprogramm istalliert konnte aber bisher nicht rausfinden, ob das auch Trijaner erkennt (denke eher nicht). Wiess das jemand? B.

 

[MacMark]

... heruntergeladene ...musikdateien .... rausfinden, ob ... Trojaner ...

Ein Trojaner sollte bei Tarnung als Musikdatei eine ausführbare Datei sein. Gefahrlos feststellbar per Terminal:
file <Datei-vom-Finder-ins-Terminal-ziehen> <return-drücken>
Dann sagt es Dir, was es ist.

 

[chrisbiolog]

Sorry bin mal wieder a kleines Dummerle. Aslo wenn so ne Datei ein Trojaner ist, ist sie nur ein Trojaner und kann nicht auch noch Musik enthalten? Oder kann der Trojaner an ner normalen Musikdatei dranhängen? Also die Musikdateien sind ja nun alle schon mal aktiviert und in iTunes. Manchmal passierts aber dass ich versehentlich ne wma erwische und anklicke, die aber nicht öffnen kann, oder es kann vorkommen, dass jemand Schweinkram in die Dateien packt. Das find ich ja dann besonders übel. B.

 

[MacMark]

... Aslo wenn so ne Datei ein Trojaner ist, ist sie nur ein Trojaner und kann nicht auch noch Musik enthalten? ...

Sie enthält dann beides. Der file Befehl zeigt, ob die Datei irgendetwas Ausführbares ist.

 

[chrisbiolog]

file Dann sagt es Dir, was es ist Dann kommt da nochmal der Dateiname und dann: permission denied. Was bedeutet dass denn nunschon wieder? Danke dass Du meine dümmlichen Fragen bewantwortest. B.

 

[chrisbiolog]

Sie enthält dann beides. Der file Befehl zeigt, ob die Datei irgendetwas Ausführbares ist.

Sorry war so gedacht. Dann kommt da nochmal der Dateiname und dann: permission denied. Was bedeutet dass denn nunschon wieder? Danke dass Du meine dümmlichen Fragen bewantwortest. B.

 

[MacMark]

... Dann kommt da nochmal der Dateiname und dann: permission denied. ...

Kopier mal Deine Eingabe und die Ausgabe aus dem Terminalfenster hier rein, wenn es mit
sudo file <datei_reinziehen>
auch nicht klappt.