Schwere Sicherheitslücke in macOS High Sierra – und Fix

Am 28. und 29.11.2017 geisterte es durch alle Medien: Apple hat sich einen riesigen Schnitzer in seinem aktuellsten Betriebssystem macOS High Sierra erlaubt, der bis dato auch noch in den aktuellsten Beta-Versionen von macOS 10.13.2 vorhanden ist: Personen mit physischem Zugriff auf einen Mac können sich offenbar vollen Administrator-Zugriff auf das System verschaffen.

Alles, was man tun muss, ist in einem Authentifizierungs-Dialog „root“ als Benutzer einzutragen und das Passwort-Feld leerzulassen. Teilweise muss man zwei oder drei Mal auf OK klicken, bevor sich das Schloss plötzlich öffnet und man vollen Zugriff auf das System hat.

Die Lösung

Ohne jetzt darüber zu spekulieren, wie so etwas möglich sein konnte, will ich hier die Lösung skizzieren. Zwei Dinge sind zu tun:

  1. root-Passwort ändern
  2. root-Benutzer aktiviert lassen und keinesfalls deaktivieren!

root ist ein Administrator-Account, der auf allen Unix-Systemen, zu denen macOS ja nun auch gehört, vorhanden ist. root hat die weitreichendsten Systemrechte und darf (fast) alles. Standardmäßig ist dieser Benutzer auf macOS deaktiviert. Der hier entdeckte Bug zeichnet sich also dadurch aus, dass root von Apples Entwicklern aktiviert wurde und obendrein kein Passwort hinterlegt ist. Damit sind von der Lücke diejenigen User nicht betroffen, die ihren root-User schon mit Passwort aktiviert hatten.

root-Passwort ändern

Es gibt verschiedene Möglichkeiten, dies zu tun. Da wir Mac-User lieber mit „Klickibunti“ arbeiten, also ungern kryptische Befehle ins Terminal hacken, präsentiere ich hier eine relativ anwenderfreundliche Methode.

Programm „Verzeichnisdienste“ öffnen

Dieses Programm ist in den Tiefen von macOS versteckt. Entweder man kann es öffnen, indem man danach per Spotlight sucht,

oder man öffnet ein Finder-Fenster und navigiert in den Ordner System/Library/CoreServices/Applications.


Um hier Änderungen vornehmen zu können, muss man unten links auf das Schloss klicken, um sich als Administrator zu authentifizieren. Wir können uns ja mal den Spaß machen und als Benutzer root eintragen und das Passwortfeld leer lassen. Sollten Sie von der Lücke betroffen sein, müsste Ihnen diese Kombination jetzt Einlass gewähren.
Als Nächstes rufen Sie das Bearbeiten-Menü aus und wählen root-Passwort ändern.

Es öffnet sich ein Dialogfenster. Geben Sie ein sicheres Passwort ein (es muss zwei Mal eingetragen werden). Fertig, die Sicherheitslücke ist damit gestopft. Schließen Sie die Verzeichnisdienste wieder.

Wichtiger Hinweis

Kommen Sie nicht auf die Idee, den root-Benutzer zu deaktivieren (diese Option ist Ihnen vielleicht im Bearbeiten-Menü der Verzeichnisdienste aufgefallen)! Wenn Sie das tun, wird die Lücke wieder geöffnet, denn das root-Passwort wird damit zurückgesetzt und man kann sich wieder ohne Passwort Zugriff verschaffen!

Shame on you Apple!

Update

Mittlerweile hat Apple das dringend erforderliche Software-Update nachgeschoben. Es sollte dringend über die App-Store-App – Updates installiert werden. Für das Update ist kein Neustart erforderlich.

macOS High Sierra – was beim Upgrade auf Server 5.4 zu beachten ist

Der lang ersehnte 25. September 2017 ist erschienen, und mit ihm der neueste Spross von Apples Betriebssystem macOS 10.13 High Sierra. Mit im Gepäck ist dabei auch ein Update der Server-App auf Version 5.4. Der vermeintlich kleine Versionssprung (von 5.3.1) hat es aber in sich.

Das Server 5.4 Update war vor allem aufgrund der neuen Funktionen und Verwaltungsmöglichkeiten in iOS 11 und macOS 10.13 notwendig, denn einer der wichtigsten Bestandteile von macOS Server ist mittlerweile das enthaltene Mobile Device Management Profilmanager. Damit können Institutionen große Mengen an Macs und iOS-Geräten zentral administrieren, und um die neuen Funktionen der frisch veröffentlichten Systeme zu unterstützen, musste natürlich auch ein Server-Update her.

Apple hat sich beim Server-Update jedoch nicht auf ein paar neue Konfigurations-Häkchen im Profilmanager beschränkt, sondern das Update zum Anlass genommen, ein paar Funktionen neu zu sortieren. So ist der Xcode-Server aus den Einstellungen verschwunden und stattdessen direkt in die ebenfalls frisch erschienene Neuauflage von Apples Entwicklungsumgebung Xcode 11 integriert worden.

Mit High Sierra ist Caching auf jedem Mac verfügbar.

Der Caching-Server, mit dem der Server Appstore- und System-Updates für alle Clients im lokalen Netzwerk zwischenspeichern und damit wertvolle Internet-Bandbreite schonen kann, ist in die Systemeinstellungen -> Freigaben gewandert. Apple hat sich wahrscheinlich gedacht, dass dieses universelle Feature in jedem Haushalt mit mehr als einem Apple-Gerät sinnvoll ist und deshalb ist Caching nun ein Standard-Bestandteil von macOS.

Wenn man schonmal dabei ist, dachte man sich wohl bei Apple, könnte man ja noch weitere Funktionen in die Systemeinstellungen auslagern. Und so nahm man sich auch noch die Dateifreigabe-Einstellungen zur Brust. Die hat es sowieso schon immer in den Systemeinstellungen gegeben, warum sollte man sie also zusätzlich noch in Server 5.4 haben? Und so ist es, künftig müssen Admins ihre Dateifreigaben in den Systemeinstellungen pflegen. Das ist alles nicht mehr so übersichtlich wie vorher, aber es geht. Wer übrigens Sonderfunktionen wie iOS- oder WebDAV-Freigaben konfigurieren möchte, muss künftig das Terminal bemühen, wo wenigstens der Funktionsumfang des serveradmin-Befehls nicht eingeschränkt wurde.

Zu guter letzt hat man bei Apple auch die Time Machine Serverfunktion aus der Server-App in die Systemeinstellungen umgezogen. Diese hat noch nicht einmal mehr einen eigenen Menüpunkt, sondern man kann eine Dateifreigabe über die erweiterten Funktionen zum Speicherort für Time Machine-Backups bestimmen. Eine optische Anzeige, wie viel Speicherplatz von Time Machine belegt wird und wie viele Netzwerk-Backups angelegt wurden, gibt es nicht mehr – diese Information kann sich der Administrator künftig über den Finder holen. Die Verwaltung von Netzwerk-Benutzerordnern ist übrigens in die Benutzeraccount-Einstellungen der Server-App gewandert bzw. nur noch dort verfügbar.

FTP gehört mit Server 5.4 endgültig der Vergangenheit an, diese Funktion wurde nicht nur aus der Server-App verbannt, sondern der FTP-Server wurde komplett entfernt.

Das langsame Ende von AFP

Fehlermeldung beim Versuch, per Apple File Protocol auf eine mit APFS formatierte Freigabe zuzugreifen.

Vor Jahren ist Apple ja bereits auf den SMB-Zug aufgesprungen und hat die Entwicklung dieses Netzwerk-Protokolls stetig vorangetrieben, wohingegen AFP keine weiteren Updates mehr erhalten hat. Verschlüsselte Verbindungen zum Dateiserver gibt es nur mit SMB, mit macOS High Sierra wird aber nun endgültig das Ende von AFP eingeleitet: das neue Dateisystem APFS hat Einzug gehalten, und Volumes, die in APFS formatiert sind, beherrschen keine AFP-Freigaben mehr, sondern erlauben nur noch den Zugriff per SMB (oder WebDAV).

Leider hat Apple es hier versäumt, einen Hinweis anzubringen. Wer seinen Server auf High Sierra und Server 5.4 aktualisiert und AFP-Freigaben auf einem Volume hat, das nach dem Update mit APFS formatiert ist, erhält keinerlei Warnhinweis oder -dialog. Die Verbindung schlägt einfach mit einer Fehlermeldung wie der rechts abgebildeten fehl.

Fazit

Insgesamt hat Apple in Server 5.4 bis auf FTP keine Funktion gestrichen. macOS High Sierra profitiert sogar von der Veränderung, denn Dateifreigabe ist immer noch das Nr. 1 Feature eines Servers, und diese Funktionalität erhält man nun für unbegrenzt viele Clients, ohne noch eine Server-App kaufen zu müssen. Vor einigen Jahren musste man dafür noch tief in die Tasche greifen. Auch der Umzug des Caching-Servers in das normale System macht Sinn.

Dennoch fühlt sich gerade das Entfernen der Dateifreigabe wie eine völlig unnötige und ärgerliche Beschneidung des Apple Servers an – nicht, weil der Funktionsumfang scheinbar reduziert wurde, sondern weil man sich noch nicht einmal Mühe bei der Integration der Dateifreigabe in den Systemeinstellungen gegeben hat. Das wirkt schon sehr lieblos und es bleibt zu hoffen, dass Apple hier nachbessert, um die kleine Server-Fangemeinschaft nicht ganz zu vergraulen.

APFS – Was beim Upgrade auf macOS 10.13 High Sierra zu beachten ist

Apples September-Event startet am 12.09.2017  um 19h MESZ und kann hier live (oder später als Aufzeichnung) verfolgt werden. Dabei werden nicht nur neue iPhones und andere Hardware-Produkte vorgestellt, sondern es fällt auch der Startschuss für die neuen Betriebssysteme iOS 11, watchOS 4, tvOS 11 und macOS 10.13 High Sierra.

macOS 10.13 High Sierra bringt vor allem eine große und bedeutende Neuerung mit: Nach 20 Jahren stellt Apple das Dateisystem des Macs von HFS+ auf den offiziellen Nachfolger APFS um. In den letzten Monaten hatte Apple APFS bereits schrittweise für iOS und die anderen Systeme eingeführt. Beim Mac hat man sich ein wenig mehr Zeit gelassen, weil es hier viel mehr Konfigurations- und Kombinationsmöglichkeiten bei der Hardware gibt und eine fehlerhafte Konvertierung des Dateisystems sehr schnell im katastrophalen Datenverlust enden könnte.

Daher ist besonders vor diesem System-Update das Vorhandensein eines vollständigen und aktuellen Backups unerlässlich – und wer das neue System nicht unbedingt sofort haben muss, sollte vielleicht sicherheitshalber macOS 10.13.1 abwarten.

Der Update-Vorgang birgt wegen dieses Dateisystem-Wechsels einige Besonderheiten, die es zu beachten gibt:

  • Macs mit Flash-Speicher (SSD) werden beim Upgrade auf High Sierra automatisch zu APFS konvertiert.
  • Macs mit Festplatte (HDD) oder FusionDrive werden beim Upgrade nicht automatisch konvertiert. Man kann die Konvertierung nach dem Upgrade auf Wunsch aber manuell im Festplatten-Dienstprogramm vornehmen.
  • Beim Upgrade muss der Mac mit dem Internet verbunden sein, da Apple die Firmware aktualisieren muss.

Das wiederum hat folgende bedeutende Einschränkungen zur Folge:

  • High Sierra kann nicht auf einem Mac im Target Disk Modus installiert werden, weil Firmware-Updates nicht auf externen Geräten durchgeführt werden können, die per FireWire, Thunderbolt oder USB verbunden sind.
  • Für Organisationen: High Sierra kann nicht mehr auf monolithischen System-Images verteilt werden, ebenfalls aufgrund des erforderlichen Firmware-Upgrades (zumindest nicht, um High Sierra zum ersten Mal auf einem Mac zu installieren – für die Wiederherstellung eines Systems, auf dem High Sierra schon installiert war, kann man wieder mit System-Images wieder arbeiten).

Die unterstützten Installationsmethoden von macOS High Sierra im Überblick:

  • Direktes Upgrade über den Installer aus dem Mac App Store
  • Upgrade über einen bootfähigen Installer (der aus dem Mac App Store-Installer erstellt wurde)
  • Upgrade über ein NetInstall-Image
  • Upgrade über ein NetRestore-Image, wenn ein Mac mit installiertem macOS High Sierra als Quelle des NetRestore-Images verwendet wurde.

Weitere Informationen zu macOS 10.13 HighSierra und APFS

Apple: Auf APFS in macOS High Sierra vorbereiten

Apple: Einrichtungen auf iOS 11, macOS High Sierra oder macOS Server 5.4 vorbereiten

Apple: macOS auf einem Mac in einer Einrichtung aktualisieren

WordPress Cookie Hinweis von Real Cookie Banner