Bug di sicurezza MacOS High Sierra Consente il login di root senza password, ecco una soluzione
È stata scoperta una vulnerabilità di sicurezza significativa con macOS High Sierra, che consente a chiunque di accedere a un Mac con funzionalità amministrative di root complete senza password.
Questo è un problema di sicurezza urgente, e mentre un aggiornamento del software dovrebbe arrivare per risolvere il problema presto, questo articolo spiegherà in dettaglio come proteggere il tuo Mac da questo buco di sicurezza.
Aggiornamento importante: Apple ha rilasciato Security Update 2017-001 per macOS High Sierra per correggere il bug di accesso root, scaricalo ora. Se stai usando macOS High Sierra, scarica l'aggiornamento il prima possibile sul tuo Mac.
Qual è il bug di login di root e perché è importante?
Per uno sfondo veloce, il buco di sicurezza consente a una persona di inserire "root" come nome utente e quindi accedere immediatamente come root al Mac, senza password. L'accesso di root senza password può avvenire direttamente con una macchina fisica nella schermata di accesso utente generale vista all'avvio, dai pannelli delle Preferenze di sistema che in genere richiedono l'autenticazione, o anche tramite VNC e Login remoto se queste ultime due funzioni di accesso remoto sono abilitate. Ognuno di questi scenari consente quindi l'accesso completo alla macchina MacOS High Sierra senza mai utilizzare una password.
Un account utente root fornisce il più alto livello di accesso al sistema possibile su un sistema operativo MacOS o qualsiasi sistema basato su Unix, la radice concede tutte le funzionalità degli account utente amministrativi sulla macchina oltre all'accesso illimitato a qualsiasi componente o file di sistema.
Gli utenti Mac interessati dal bug di sicurezza includono chiunque abbia MacOS High Sierra 10.13, 10.13.1 o 10.13.2 che non hanno precedentemente abilitato l'account root o modificato una password dell'account utente root su Mac, che è la stragrande maggioranza di Utenti Mac che eseguono High Sierra.
Sembra male, giusto? Lo è, ma c'è una soluzione abbastanza semplice che impedisce a questo bug di sicurezza di essere un problema. Tutto ciò che devi fare è impostare una password di root sul Mac interessato.
Come impedire il login root senza password in MacOS High Sierra
Esistono due approcci per impedire il login root senza password su una macchina MacOS High Sierra, è possibile utilizzare Directory Utility o la riga di comando. Copriremo entrambi. L'utility Directory Utility è forse più semplice per la maggior parte degli utenti poiché è interamente realizzata dall'interfaccia grafica su Mac, mentre l'approccio a riga di comando è basato sul testo e generalmente considerato più complesso.
Utilizzando l'utility Directory per bloccare il root
- Apri Spotlight sul Mac premendo Command + Barra spaziatrice (o facendo clic sull'icona Spotlight nell'angolo in alto a destra della barra dei menu) e digita "Utility Directory" e premi Invio per avviare l'app
- Fai clic sull'icona del lucchetto nell'angolo e autenticati con un account di accesso amministratore
- Ora apri il menu "Modifica" e scegli "Cambia password di root ..." ***
- Immettere una password per l'account utente root e confermare, quindi fare clic su "OK"
- Chiudi fuori da Utility Directory
*** Se l'account utente root non è ancora abilitato, selezionare "Abilita utente root" e quindi impostare una password.
In sostanza, tutto ciò che si sta facendo è assegnare una password all'account root, il che significa che l'accesso con root richiederà quindi una password come dovrebbe. Se non si assegna una password per eseguire il root in questo modo, sorprendentemente, una macchina macOS High Sierra accetta un login di root senza password.
Utilizzo della riga di comando per assegnare una password di root
Gli utenti che preferiscono utilizzare la riga di comando in macOS possono anche impostare o assegnare una password di root con sudo e il normale vecchio comando passwd.
- Apri l'applicazione Terminale, disponibile in / Applicazioni / Utility /
- Digitare la seguente sintassi esattamente nel terminale, quindi premere il tasto Invio:
- Inserisci la password dell'amministratore per autenticarti e premi Invio
- Alla "Nuova password", inserisci una password che non dimentichi, premi Invio e conferma
sudo passwd root
Assicurati di impostare la password di root su qualcosa che ricorderai, o magari abbinare anche la tua password di amministratore.
Come faccio a sapere se il mio Mac è influenzato dal bug di login di root senza password?
Sembra che solo le macchine macOS High Sierra siano influenzate da questo bug di sicurezza. Il modo più semplice per verificare se il tuo Mac è vulnerabile al bug di login di root è provare ad accedere come root, senza password.
Puoi eseguire questa operazione dalla schermata di accesso di avvio generale o tramite qualsiasi pannello di autenticazione dell'amministratore (facendo clic sull'icona a forma di lucchetto) disponibile in Preferenze di sistema come FileVault o Utenti e gruppi.
Inserisci semplicemente "root" come utente, non inserire una password e fai clic su "Unlock" due volte - se il bug ti colpisce, allora verrai loggato come root o privilegi di root garantiti. Devi premere "unlock" due volte, la prima volta che fai clic sul pulsante "unlock" crea l'account root con una password vuota, e la seconda volta che fai clic su "unlock" accede, consentendo l'accesso completo alla root.
Il bug, che è fondamentalmente un exploit root di 0 giorni, è stato segnalato per la prima volta al pubblico su Twitter da @lemiorhan e ha rapidamente guadagnato l'attenzione dei media e dei media a causa della potenziale gravità dell'impatto. Apparentemente Apple è a conoscenza del problema e sta lavorando ad un aggiornamento software per risolvere il problema.
Il bug di login di root ha un impatto su macOS Sierra, Mac OS X El Capitan o prima?
Il bug di accesso root senza password sembra avere un impatto solo su macOS High Sierra 10.13.x e non sembra influire sulle versioni precedenti di macOS e del software di sistema Mac OS X.
Inoltre, se in precedenza era stata abilitata la root tramite la riga di comando o l'utility Directory, oppure la password di root era stata modificata in un altro momento, il bug non funzionava con tale macchina macOS High Sierra.
Ricorda, Apple è a conoscenza di questo problema e pubblicherà un aggiornamento per la sicurezza nel prossimo futuro per risolvere il bug. Nel frattempo, fai un favore e imposta o modifica la password di root su Mac con MacOS High Sierra per proteggerli da accessi non autorizzati alla macchina e tutti i suoi dati e contenuti.