Et betydelig sikkerhetsproblem har blitt oppdaget med macOS High Sierra, som potensielt lar enhver person logge på en Mac med full root-administrasjon uten passord.

Dette er et presserende sikkerhetsproblem, og selv om en programvareoppdatering skulle komme for å løse problemet snart, vil denne artikkelen detaljere hvordan du beskytter Mac-en din mot dette sikkerhetshullet.

Viktig oppdatering: Apple har gitt ut sikkerhetsoppdatering 2017-001 for macOS High Sierra for å fikse rotpåloggingsfeilen, last den ned nå. Hvis du kjører macOS High Sierra, last ned oppdateringen så snart som mulig til din Mac.

Hva er rotpåloggingsfeilen, og hvorfor spiller den noen rolle?

For litt rask bakgrunn lar sikkerhetshullet en person skrive inn ‘root’ som brukernavn og deretter umiddelbart logge inn som root på Mac-en, uten passord. Den passordfrie rotpåloggingen kan skje direkte med en fysisk maskin på den generelle brukerpåloggingsskjermen som vises ved oppstart, fra System Preferences-panelene som vanligvis krever autentisering, eller til og med over VNC og Remote Login hvis de to sistnevnte fjerntilgangsfunksjonene er aktivert. Alle disse scenariene gir da full tilgang til MacOS High Sierra-maskinen uten å bruke et passord.

En root-brukerkonto gir det høyeste nivået av systemtilgang som er mulig på et MacOS- eller et hvilket som helst unix-basert operativsystem, root gir alle funksjoner til administrative brukerkontoer på maskinen i tillegg til ubegrenset tilgang til alle systemnivåer komponenter eller filer.

Mac-brukere som er berørt av sikkerhetsfeilen inkluderer alle som kjører macOS High Sierra 10.13, 10.13.1 eller 10.13.2 betaversjoner som ikke tidligere har aktivert root-kontoen eller endret et root-brukerkontopassord på Mac-en før, som er det store flertallet av Mac-brukere som kjører High Sierra.

Høres dårlig ut, ikke sant? Det er det, men det er en ganske enkel løsning som vil forhindre at denne sikkerhetsfeilen blir et problem. Alt du trenger å gjøre er å angi et root-passord på den berørte Mac-en.

Hvordan forhindrer du rotpålogging uten passord i MacOS High Sierra

Det er to tilnærminger for å forhindre rotpålogging uten passord på en MacOS High Sierra-maskin. Du kan bruke Directory Utility eller kommandolinjen. Vi dekker begge deler. Directory Utility er kanskje enklere for de fleste brukere siden det oppnås helt fra det grafiske grensesnittet på Mac, mens kommandolinjetilnærmingen er tekstbasert og generelt ansett som mer kompleks.

Using Directory Utility for å låse rot

1. Åpne Spotlight på Mac ved å trykke på Kommando+Mellomrom (eller klikke på Spotlight-ikonet øverst til høyre på menylinjen) og skriv inn "Directory Utility" og trykk retur for å starte appen



2. Klikk på det lille låseikonet i hjørnet og autentiser med en administratorkontopålogging



3. Trekk nå ned "Rediger"-menyen og velg "Endre rotpassord..."



4. Skriv inn et passord for root-brukerkontoen og bekreft, klikk deretter "OK"



5. Lukk ut av katalogverktøy

Hvis root-brukerkontoen ikke er aktivert ennå, velg «Aktiver rotbruker» og angi et passord i stedet.

I hovedsak er alt du gjør er å tilordne et passord til root-kontoen, noe som betyr at innlogging med root vil kreve et passord som det skal. Hvis du ikke tilordner et passord for å root på denne måten, utrolig nok godtar en macOS High Sierra-maskin en root-pålogging uten passord i det hele tatt.

Bruk av kommandolinjen for å tilordne et rotpassord

Brukere som foretrekker å bruke kommandolinjen i macOS, kan også angi eller tilordne et root-passord med sudo og den vanlige gamle passwd-kommandoen.

1. Åpne Terminal-applikasjonen, som du finner i /Applications/Utilities/
2. Skriv inn følgende syntaks nøyaktig i terminalen, og trykk deretter på returtasten:

sudo passwd root

3. Skriv inn administratorpassordet ditt for å autentisere og trykk retur
4. Ved "Nytt passord", skriv inn et passord du ikke vil glemme, trykk på retur og bekreft det

Sørg for å sette root-passordet til noe du vil huske, eller kanskje til og med matche administratorpassordet ditt.

Hvordan vet jeg om Mac-en min er påvirket av den passordfrie rotpåloggingsfeilen?

Det ser ut til at bare macOS High Sierra-maskiner er påvirket av denne sikkerhetsfeilen. Den enkleste måten å sjekke om Mac-en din er sårbar for rotpåloggingsfeilen, er å prøve å logge på som root, uten passord.

Du kan gjøre dette fra den generelle oppstartspåloggingsskjermen, eller via et hvilket som helst adminautentiseringspanel (ved å klikke på låsikonet) som er tilgjengelig i Systemvalg som FileVault eller Users & Groups.

Sett enkelt "root" som bruker, ikke skriv inn et passord, og klikk "Lås opp" to ganger - hvis feilen påvirker deg, vil du bli logget inn som root eller gitt root-privilegier. Du må trykke "lås opp" to ganger, første gang du klikker på "lås opp"-knappen opprettes root-kontoen med et tomt passord, og andre gangen du klikker "lås opp" logger den på, noe som gir full root-tilgang.

Feilen, som i bunn og grunn er en 0-dagers rotutnyttelse, ble først rapportert til offentligheten på Twitter av @lemiorhan og har raskt fått damp og oppmerksomhet i media på grunn av potensiell alvorlighetsgrad. Apple er tilsynelatende klar over problemet og jobber med en programvareoppdatering for å løse problemet.

Påvirker rotpåloggingsfeilen macOS Sierra, Mac OS X El Capitan eller før?

Den passordløse rotpåloggingsfeilen ser ut til å bare påvirke macOS High Sierra 10.13.x og ser ikke ut til å påvirke tidligere versjoner av macOS og Mac OS X-systemprogramvare.

I tillegg, hvis du tidligere hadde aktivert root via kommandolinjen eller med Directory Utility, eller endret root-passordet på et annet tidspunkt, ville ikke feilen fungere på en slik macOS High Sierra-maskin.

Husk at Apple er klar over dette problemet og vil utgi en sikkerhetsoppdatering i nær fremtid for å løse feilen. I mellomtiden kan du gjøre deg selv en tjeneste og angi eller endre root-passordet på Mac-maskiner som kjører macOS High Sierra for å beskytte dem mot uautorisert full tilgang til maskinen og alle dens data og innhold.