Mac OS X: Der Einbrecher kommt per DHCP

Über einen speziell präparierten DHCP- und LDAP-Server können Angreifer vollen Zugriff auf Mac-OS-X-Rechner erlangen.

In Pocket speichern vorlesen Druckansicht 396 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Andreas Beier

William Carrel weist in einem Advisory darauf hin, dass Apples Betriebssystem Mac OS X anfällig für Angriffe aus dem Netzwerk ist. In der Standardkonfiguration akzeptiert das System nämlich einen per DHCP-Server übermittelten LDAP-Server, den es zum Überprüfen von User-Anmeldedaten befragt. Dabei überprüft Mac OS X die Authentizität des LDAP-Servers nicht, sondern vertraut ihm blind. Ein Angreifer mit Zugang zum lokalen Netz kann diese Blauäugigkeit von Apples Betriebssystem recht einfach ausnutzen, indem er ihm beim Systemstart mit einem eigenen DHCP-Server einen speziell präparierten LDAP-Server unterschiebt. Die dort geführten Benutzer haben dann Zugriff auf alle Netzwerkdienste des Apple-Rechners -- selbst eine Anmeldung als Systemadminstrator (User-ID 0) ist möglich. Der Anwender bekommt von all dem nichts mit, es passiert unterhalb der schicken Aqua-Oberfläche. Unter Mac OS X 10.2.x existiert die beschriebene Schwachstelle zusätzlich für NetInfo-Server.

Besonders mobile User mit Apple-Notebooks sind betroffen. Wenn sie sich in einem WLAN-Netz befinden, das IP-Adressen per DHCP vergibt, haben sie keine Gewähr, dass nicht ein präparierter DHCP-Server einen falschen LDAP-Server liefert. In einem kabelgebundenen Netzwerk dürfte es Angreifern schwerer fallen, den regulären DHCP-Server auszustechen, prinzipiell besteht das Risiko aber auch dort.

Apple hat reagiert und beschreibt in einem Support-Artikel, wie sich Mac-OS-X-Anwender vor diesen Angriffen schützen können. Sie empfehlen dazu, im Programm "Verzeichnisdienste" für "LDAPv3" die Option "Den vom DHCP-Server gelieferten LDAP-Server verwenden" zu deaktivieren und stattdessen bei Bedarf die Adresse des Dienstes manuell anzugeben. Wer den LDAP-Dienst nicht benötigt, kann ihn auch komplett abschalten. Für MacOS 10.2 ist "Verbindungsversuch mit DHCP-Protokoll" abzuschalten.

Auf Carrels grundsätzliche Kritik geht Apple hingegen nicht ein. Unter der Überschrift "philosophische Details" moniert er, dass Apple das Netzwerk grundsätzlich als vertrauenswürdig betrachte und selbst einen Authentifizierungs-Server akzeptiere, ohne dass dieser sich in irgendeiner Form ausweisen müsse. In Windows-Netzwerken beispielsweise muss sich ein Domänen-Server auch gegenüber dem Client authentifizieren.

Siehe dazu auch: (adb)