Root-Rechte unter Mac OS X durch Application Enhancer [Update]
Das Tool, mit dem die Patches der Gruppe um Landon Fuller zum Schließen der bisherigen beim "Month of Apple Bugs" gefundenen Lücken installiert werden sollen, lässt sich aufgrund falscher Dateirechte ausnutzen, um an Root-Rechte zu gelangen.
- Daniel Bachfeld
Der achte Fehler im Month of Apple Bugs betrifft diesmal eine Local-Privilege-Escalation-Schwachstelle im Application Enhancer (APE), also ausgerechnet dem Tool, mit dem die Patches der Gruppe um Landon Fuller MOAB-Fixes zum Schließen der bisherigen Lücken installiert werden sollen. APE ist eine Kombination aus Framework und Systemdienst, mit dem sich laufende Anwendungen im Speicher über Module modifizieren lassen – die Datei auf der Festplatte bleibt dabei gänzlich unberührt. Dazu dient unter anderem der Application Enhancer Daemon (aped), der zwar mit Root-Rechten läuft, von ihm gestartete Anwendungen aber auf normale Nutzerrechte zurückstuft.
Allerdings wird das Framework unter dem Verzeichnis /Library/Frameworks installiert, ein Pfad, auf den der Mac-Nutzer üblicherweise Schreibzugriff hat. Ein Angreifer könnte den Application Enhancer derart patchen, dass die mit APE aufgerufene Anwendung Root-Rechte behält. Ein Angreifer kann dann darüber also seine Zugriffsrechte erhöhen, ohne ein Root-Passwort eingeben zu müssen – sofern er etwa über eine weitere Lücke über das Netzwerk in den Mac eingedrungen ist. Eine ähnliche Lücke in Apples DiskManagement wurde im Rahmen des MOAB bereits vergangene Woche veröffentlicht. Ein Ruby-Exploit zur Demonstration des Problems steht auf den MOAB-Seiten zum Download bereit. Das Skript patcht den APE-Daemon, anschließend ist ein Neustart erforderlich. Betroffen ist die aktuelle Version 2.0.2 und vorhergehende.
Die Aktivisten des Month of Apple Bug schlagen als Workaround vor, APE möglichst nicht mehr zu nutzen und zu deinstalleren. Landon Fuller empfiehlt hingegen, der Admin-Gruppe die Schreibrechte auf /Library/Frameworks einfach zu entziehen: sudo chmod g-w /Library/Frameworks.
Update
Als dritte Lösung stuft man im Bereich "Benutzer" in den Systemeinstellungen durch Ausschalten der Option "Der Benutzer darf diesen Computer verwalten" das Konto herab. Im Weiteren ist der Nutzer nicht mehr Mitglied der Gruppe "Admin". Das System erlaubt dies allerdings nur, wenn noch ein weiteres Administrationskonto existiert. Unter Umständen muss dies also noch angelegt werden. Bei fehlenden Rechten fordert Mac OS X fortan bei Bedarf automatisch den Namen eines Administrationskontos und das dazu passende Kennwort an.
Siehe dazu auch:
- Application Enhancer (APE) Local Privilege Escalation, Fehlerbericht von MOAB
(dab)
