Original-URL des Artikels: https://www.golem.de/news/security-schwachstelle-erlaubt-lokale-rechteausweitung-in-os-x-10-10-1507-115388.html    Veröffentlicht: 23.07.2015 10:49    Kurz-URL: https://glm.io/115388

Security

Schwachstelle erlaubt lokale Rechteausweitung in OS X 10.10

Ein Fehler in Apples OS X 10.10.4 erlaubt es, sich administrative Privilegien zu verschaffen. Die Schwachstelle kann nur lokal ausgenutzt werden und wurde in der Beta von OS X 10.11 bereits behoben.

In Apples OS X 10.10.4 sowie in der Beta von Version 10.10.5 gibt es eine Schwachstelle, die genutzt werden kann, um beliebige Befehle als Administrator auszuführen und auch, um Malware einzuschleusen. Der IT-Sicherheitsexperte Stefan Esser hat Details zu der Lücke in seinem Blog veröffentlicht und selbst einen Patch entwickelt. Apples Entwickler kennen die Schwachstelle wohl selbst, denn in der Beta von OS X 10.11 wurde sie bereits behoben.

Laut Esser wurde die Schwachstelle im Zuge neuer Funktionen im Dynamischen Linker Dyld eingeführt. Über die Variable DYLD_PRINT_TO_FILE lassen sich Fehlerprotokolle in eine beliebige Datei öffnen oder schreiben - sogar mit Root-Rechten. Normalerweise sollte der Linker sämtliche Variablen ablehnen, die die Rechte unerlaubt erhöhen. Im Fall der Variable DYLD_PRINT_TO_FILE hingegen wurde diese Sicherheitsfunktion nicht berücksichtigt. Ein weiteres Problem ist, dass eine so erstellte Protokolldatei auch niemals geschlossen wird und so alle erhöhten Rechte an neu erstellte Prozesse weitergibt. Damit kann ein normaler Benutzer die komplette Kontrolle über das System erhalten.

Mit dem Befehl

echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s

lässt sich die Schwachstelle als Benutzer zu Demonstrationszwecken ausnutzen. Der aktuelle Benutzer wird dabei in die bestehende Konfigurationsdatei sudoers eingetragen, was ihm Root-Rechte beschert. Mit dem Root-Befehl newgrp erhält man die benötigten Schreibrechte zu der Textdatei Sudoers. Die Variable NOPASSWD sorgt dafür, dass der Benutzer kein Root-Passwort eingeben muss. Anschließend wird noch der Befehl sudo -s ausgeführt. Damit wird eine neue Shell mit administrativen Privilegien geöffnet.

Esser hat einen Kernel-Treiber entwickelt, der die Schwachstelle schließt. Den Code für SUIDGuard und eine signierte Version des Treibers stellt der Entwickler auf Github bereit.  (jt)


Verwandte Artikel:
Memory Leak: Insiderhandel bei Intel?   
(04.01.2018, https://glm.io/131957 )
mDNSresponder kommt wieder: Auch für iOS 9 gibt Apple anscheinend Discoveryd auf   
(11.06.2015, https://glm.io/114601 )
Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager   
(18.12.2017, https://glm.io/131725 )
Devil's Ivy: Gefährliche Schwachstelle in Sicherheitskameras entdeckt   
(19.07.2017, https://glm.io/129022 )
Routersicherheit: Fritzbox-Lücke gewährt Angreifern Blick ins lokale Netz   
(07.07.2017, https://glm.io/128796 )

© 1997–2019 Golem.de, https://www.golem.de/