У macOS High Sierra виявлено значну вразливість безпеки, яка потенційно дозволяє будь-якій людині входити в систему Mac із повними адміністративними можливостями root без пароля.

Це термінова проблема безпеки, і хоча незабаром має надійти оновлення програмного забезпечення для вирішення проблеми, у цій статті детально описано, як захистити ваш Mac від цієї діри в безпеці.

Важливе оновлення: Apple випустила оновлення безпеки 2017-001 для macOS High Sierra, щоб виправити помилку входу в обліковий запис root. Завантажте його зараз. Якщо ви використовуєте macOS High Sierra, якнайшвидше завантажте оновлення на свій Mac.

Що таке помилка входу root і чому це важливо?

Для короткого ознайомлення: діра в безпеці дозволяє людині ввести «root» як ім’я користувача, а потім негайно увійти як root на Mac без пароля. Вхід без пароля root може відбуватися безпосередньо з фізичної машини на екрані входу звичайного користувача, який видно під час завантаження, з панелей системних налаштувань, які зазвичай вимагають автентифікації, або навіть через VNC і віддалений вхід, якщо ці дві останні функції віддаленого доступу ввімкнено. Будь-який із цих сценаріїв надає повний доступ до машини MacOS High Sierra без використання пароля.

Обліковий запис користувача root забезпечує найвищий рівень доступу до системи, можливий у MacOS або будь-якій операційній системі на основі Unix, root надає всі можливості облікових записів адміністратора на машині на додаток до необмеженого доступу до будь-якого рівня системи компонентів або файлів.

Користувачі Mac, на яких вплинула помилка безпеки, включають будь-кого, хто використовує бета-версії macOS High Sierra 10.13, 10.13.1 або 10.13.2, які раніше не ввімкнули обліковий запис root або не змінили пароль облікового запису root на Mac раніше, це переважна більшість користувачів Mac, які використовують High Sierra.

Звучить погано, правда? Це так, але існує досить простий обхідний шлях, який запобіжить цій помилці безпеки. Все, що вам потрібно зробити, це встановити пароль root на постраждалому комп’ютері Mac.

Як запобігти входу root без пароля в MacOS High Sierra

Існує два підходи до запобігання входу root без пароля на комп’ютері MacOS High Sierra, ви можете використовувати Directory Utility або командний рядок. Ми розглянемо обидва. Програма Directory Utility, мабуть, є простішою для більшості користувачів, оскільки вона повністю реалізована за допомогою графічного інтерфейсу на Mac, тоді як підхід командного рядка базується на тексті та зазвичай вважається більш складним.

Використання утиліти каталогу для блокування root

1. Відкрийте Spotlight на Mac, натиснувши Command+Spacebar (або клацнувши піктограму Spotlight у верхньому правому куті панелі меню), введіть «Directory Utility» і натисніть «Return», щоб запустити програму



2. Натисніть маленьку піктограму замка в кутку та пройдіть автентифікацію за допомогою облікового запису адміністратора



3. Тепер відкрийте меню «Редагувати» та виберіть «Змінити пароль адміністратора…»



4. Введіть пароль для облікового запису root користувача та підтвердьте, потім натисніть «ОК»



5. Закрити утиліту каталогу

Якщо обліковий запис користувача root ще не ввімкнено, виберіть «Увімкнути користувача root» і замість цього встановіть пароль.

По суті, все, що ви робите, це призначати пароль для облікового запису root, тобто для входу в систему з root потрібно буде ввести пароль, як і належить. Якщо ви не призначите пароль для рутування таким чином, дивовижно, машина macOS High Sierra приймає реєстрацію root без пароля.

Використання командного рядка для призначення пароля root

Користувачі, які бажають використовувати командний рядок у macOS, також можуть установити або призначити пароль root за допомогою sudo та звичайної старої команди passwd.

1. Відкрийте програму Terminal, яку можна знайти в /Applications/Utilities/
2. Введіть наступний синтаксис точно в термінал, а потім натисніть клавішу повернення:

sudo passwd root

3. Введіть свій пароль адміністратора для автентифікації та натисніть клавішу повернення
4. У «Новий пароль» введіть пароль, який ви не забудете, натисніть клавішу повернення та підтвердьте його

Обов’язково встановіть пароль адміністратора таким, який ви запам’ятаєте, або, можливо, навіть збігається з паролем адміністратора.

Як я дізнаюся, що мій Mac не вплинув на помилку входу без пароля root?

Схоже, що ця помилка безпеки стосується лише машин macOS High Sierra. Найпростіший спосіб перевірити, чи ваш Mac вразливий до помилки входу root, це спробувати ввійти як root без пароля.

Це можна зробити із загального екрана входу при завантаженні або через будь-яку панель автентифікації адміністратора (клацнувши піктограму замка), доступну в системних налаштуваннях, як-от FileVault або Користувачі та групи.

Просто введіть «root» як користувача, не вводьте пароль і двічі натисніть «Розблокувати» – якщо помилка торкнеться вас, ви увійдете в систему як root або отримаєте права root. Ви повинні двічі натиснути кнопку «розблокувати». Перший раз, коли ви натискаєте кнопку «розблокувати», створюється обліковий запис root з порожнім паролем, а коли ви натискаєте «розблокувати» вдруге, відбувається вхід, що забезпечує повний доступ root.

Про помилку, яка по суті є 0-денним рут-експлойтом, вперше повідомив громадськості в Twitter @lemiorhan, і вона швидко привернула увагу та увагу ЗМІ через потенційну серйозність впливу. Apple, очевидно, знає про проблему та працює над оновленням програмного забезпечення, щоб вирішити проблему.

Чи впливає помилка кореневого входу на macOS Sierra, Mac OS X El Capitan або раніше?

Схоже, що помилка входу без пароля root впливає лише на macOS High Sierra 10.13.x і не впливає на попередні версії системного програмного забезпечення macOS і Mac OS X.

Крім того, якщо ви раніше ввімкнули root через командний рядок або за допомогою Directory Utility або змінили пароль root в інший час, помилка не працюватиме на такій машині macOS High Sierra.

Пам’ятайте, Apple знає про цю проблему та найближчим часом випустить оновлення системи безпеки, щоб усунути помилку. Тим часом зробіть собі послугу та встановіть або змініть пароль користувача root на комп’ютерах Mac під керуванням macOS High Sierra, щоб захистити їх від повного несанкціонованого доступу до машини та всіх її даних і вмісту.