1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Apple Remote Desktop mit massiver Schwachstelle

Dieses Thema im Forum "Magazin" wurde erstellt von Felix Rieseberg, 20.06.08.

  1. Felix Rieseberg

    Felix Rieseberg Seestermüher Zitronenapfel

    Dabei seit:
    24.01.06
    Beiträge:
    6.149
    Eine Komponente von Apple Remote Desktop, der sogenannte ARDAgent, verfügt über eine massive Sicherheitslücke, die es Angreifern relativ leicht ermöglicht, beliebigen Code als Root (Administrator) auszuführen.

    Es ist zur Vorsicht geraten: Die unter /System/Library/CoreServices/RemoteManagement/ zu findende Komponente ist in der Lage, über einen Umweg über AppleScript beliebigen Terminal-Code als 'Root' auszuführen - ganz ohne Passwortabfrage. 'Root' bezeichnet unter UNIX- und Mac OS X - Systemen den Benutzer, der vollkommen ohne Beschränkungen schalten und walten kann. Damit sich ein potentieller Angreifer die Lücke zunutzen machen kann, muss er angemeldet sein - egal, ob er direkt vor dem Computer sitzt oder nur per Remote Desktop auf den Rechner zugreift. Ein Trojaner, der vom unwissenden Nutzer ausgeführt wird, hat jedoch ebenso Zugriff auf die Schwachstelle. Ein erster Trojaner wurde bereits entwickelt: Das Sicherheitsportal SecureMac warnt vor AppleScript.THT, einem Trojaner, der einem Angreifer besagten Vollzugriff ermöglicht. Der Trojaner verbreitet sich jedoch nicht von selber - wer wie gewohnt keine zweifelhaften Dateien öffnet, ist zumindest vor dem Trojaner sicher.

    Betroffen sind Mac OS X 10.4 und 10.5. Es gibt jedoch eine Möglichkeit, die Schwachstelle vorübergehend außer Kraft zu setzen: Unter OS X Leopard genügt die Aktivierung der 'Entfernten Verwaltung' im Menüpunkt Sharing. Nutzer von Mac OS X Tiger sind geschützt, wenn sie eine Version von Apple Remote Desktop installiert haben - sonst gibt es ersteinmal keinen Umweg, es sei denn, der versierte Anwender traut sich an die anspruchsvolleren Lösungsvorschläge bei Slashdot.

    via Pressemitteilung (Intego)
     

    Anhänge:

  2. Ikezu Sennin

    Ikezu Sennin Schöner von Bath

    Dabei seit:
    15.07.07
    Beiträge:
    3.649
    Genügt es, bei "entfernte Verwaltung" einen Haken zu setzen oder sollte man einen bestimmten Nutzer zuweisen und den am besten ohne Rechte?
     
  3. TiJey

    TiJey Jonathan

    Dabei seit:
    01.04.08
    Beiträge:
    83
    hm,
    das wüsste ich auch gern,
    aber jetzt hab ich wenigstens ein schönes Fernglas...:-D
     
  4. Witter

    Witter Ingrid Marie

    Dabei seit:
    02.07.07
    Beiträge:
    268
    Bin ich auch betroffen wenn ich gar ein Apple Remote Desktop installiert habe?
     
  5. Langer

    Langer Jonagold

    Dabei seit:
    26.12.07
    Beiträge:
    18
    hab ich das richitg verstanden, ich soll entfernte Verwaltung aktivieren. Das macht für mich im Augenblick keinen, Sinn. Könnte mir das evtl. jemand erklären.

    Danke
     
  6. Paganethos

    Paganethos Clairgeau

    Dabei seit:
    18.11.07
    Beiträge:
    3.701
    Wenn du den Dienst aktiviert hast will der Leopard von dir dein Admin Passwort bevor er das Skript ausführt. Ist der Dienst deaktviert erfolgt keine Abfrage des Passworts. Eben DIESES Verhalten IST die Sicherheitslücke.

    Siehe dazu auch den Artikel auf heise.de: http://www.heise.de/newsticker/Root-Exploit-fuer-Mac-OS-X--/meldung/109735
     
  7. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Ja, weil es nicht das Programm ARD ist, sondern der Server-daemon dafür, der in jedem OS X drinsteckt.

    Gruß Stefan
     
  8. Langer

    Langer Jonagold

    Dabei seit:
    26.12.07
    Beiträge:
    18
    @ Paganethos

    Vielen Dank für die schnelle Antwort. Einfaches aktivieren reicht oder muss ich da noch einstellen das ich nach dem Passwort gefragt werden will oder irgendwelche Kästchen im Nachfolgenden Menü anklicken?
     
  9. GrandpaJoe

    GrandpaJoe Bismarckapfel

    Dabei seit:
    12.08.05
    Beiträge:
    147
    Also mache ich unter Sharing die entfernte Verwaltung an und sage die Nutzer dürfen nix und es dürfen nur bestimmte Nutzer und setzt da keine rein?

    Also keiner darf nix?
     
  10. Utz Gordon

    Utz Gordon Schöner von Nordhausen

    Dabei seit:
    15.07.07
    Beiträge:
    316
    Weiß schon wer, wann ein Hotfix per Update kommt?
     
  11. Ikezu Sennin

    Ikezu Sennin Schöner von Bath

    Dabei seit:
    15.07.07
    Beiträge:
    3.649
    Steve weiß es :p

    Wird wohl ein paar Tage dauern, bis da was von Apple kommt (*hofft, dass die Bande diesmal schneller reagiert als die sonst üblichen Wochen*)
     
  12. leonaddi

    leonaddi Schweizer Glockenapfel

    Dabei seit:
    27.11.07
    Beiträge:
    1.372
    Heißt das für mich, dass ich den Windows PC, der über das Netzwerk auf meine Daten zugreifen kann, vorerst nicht mehr zulassen darf?

    Fragen über Fragen.... Oder ist es nur eine Maßnahme von Intego, um so mehr Käufer zu erreichen o_O
     
  13. Ikezu Sennin

    Ikezu Sennin Schöner von Bath

    Dabei seit:
    15.07.07
    Beiträge:
    3.649
    @leonaddi

    Das sollte kein Problem sein... die Schwachstelle ist ja in der Entfernten Verwaltung und nicht im Windows-Sharing.
     
  14. leonaddi

    leonaddi Schweizer Glockenapfel

    Dabei seit:
    27.11.07
    Beiträge:
    1.372
    Ok, danke Ikezu. Ich dachte nur, weil für mein Verständnis der Zugriff vom Windows auch etwas mit Verwaltung zu tun hat. Nun denn, bin ich beruhigt :)
     
  15. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    Wie könnte ich den feststellen ob ich mir das Ding schon eingefangen habe.

    B
     
  16. jensche

    jensche ̈Öhringer Blutstreifling

    Dabei seit:
    27.10.04
    Beiträge:
    5.573
    Gib das ins Terminal ein:
    Code:
    osascript -e 'tell app "ARDAgent" to do shell script "whoami"'
    Wenn da root steht... ist der Exploit da....
    Und lösen tust du folgendermassen:

    Code:
    sudo -s
    dann dein Passwort
    Dann
    Code:
    chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
    dann
    Ctrl-D

    Danach ists schon gelöst...
    Zum testen gib nochmals:
    Code:
    osascript -e 'tell app "ARDAgent" to do shell script "whoami"'
    Nun sollte kein Root mehr kommen.... wenn das so ist... ist der Exploit geschlossen.
     
  17. Skeeve

    Skeeve Pomme d'or

    Dabei seit:
    26.10.05
    Beiträge:
    3.121
    Ich weiß. Jensche war schneller, aber nur, weil ich es ihm im Skype erzählt hatte

    Hier aber der wichtige Hinweis, weil ich festgestellt habe, daß der eine oder andere User der Meinung ist, die Lücke betrifft nur Leute, die ein ARD verwenden.
    Die Lücke ist auch (und vorallem) da, wenn Ihr ARD
    nicht
    verwendet!

    Lücke beheben unter 10.4 im Terminal (Das "$" nie mit eingeben):
    Zuerst ein Test
    Code:
    [B]$ [/B]osascript -e 'tell app "ARDAgent" to do shell script "whoami"'
    [B]root[/B]
    Da steht „root“ ➢ Lücke vorhanden
    Code:
    [B]$ [/B]sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
    
    (Dein Passwort eingeben, wenn danach gefragt wird. Es erscheint dabei nichts. Auch keine Sternchen)
    Anschließend ein Test:
    Code:
    [B]$ [/B]osascript -e 'tell app "ARDAgent" to do shell script "whoami"'
    [B]skeeve[/B]
    Da steht „skeeve“ (bei Euch was anderes) ➢ Lücke nicht mehr vorhanden
     
    #17 Skeeve, 20.06.08
    Zuletzt bearbeitet: 20.06.08
    jensche gefällt das.
  18. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    Bei mir steht da dann nur wo ich mich gerade befinde, genauso wie vor Eingabe des Befehls.

    Muss das so sein?

    B
     
  19. Paganethos

    Paganethos Clairgeau

    Dabei seit:
    18.11.07
    Beiträge:
    3.701
    Die ganze Sache ist doch eigentlich garnicht so schlimm, voralem wenn man mit Brain V 1.0 surft. ;)

    Die ganze Sache funktioniert nur mit der Hilfe des Users.



    Edit: Würde es nicht reichten einfach die Ports dicht zu machen? Weiss jemand welche das sind und wie man das macht?
     
  20. Ikezu Sennin

    Ikezu Sennin Schöner von Bath

    Dabei seit:
    15.07.07
    Beiträge:
    3.649
    Hab grade das
    eingegeben und "root" erscheint nur bei ausgeschalteter Entfernter Anmeldung, ist die an, kommt ne Fehlermeldung, also scheint die Aktivierung der EA was zu bringen.
     

Diese Seite empfehlen