Sicherheitslücke in Lion gefährdet Passwörter

Eine potenziell gefährliche Sicherheitslücke in Mac OS X Lion erlaubt es, das Passwort eines angemeldeten Nutzers zu ändern. Darüber hinaus ist auch einfachen Anwendern der Zugriff auf die Passwort-Hashes anderer möglich, der eigentlich Root-Usern vorbehalten sein sollte. Das hat der Sicherheitsexperte Patrick Dunstan in Erfahrung gebracht.

Dunstan hatte bereits 2009 eine Methode aufgedeckt, mit der sich Passwörter für OS X aus den Passwort-Hashes cracken lassen. Es setzte allerdings vor OS X 10.7 Lion Adminrechte voraus, an die in Shadow-Dateien abgelegten Passwort-Hashes zu kommen. Durch ein nachlässig implementiertes Authentifizierungsverfahren können sie nun jedoch im Prinzip alle Nutzer über den Verzeichnisdienst (Directory Service) auslesen. Mit dem Einsatz einschlägiger Werkzeuge ist damit das Knacken der Passwörter möglich. Da es sich um mit Salts gehashte Passwörter handelt, sind die erforderlichen Brute-Force-Angriffe extrem zeitaufwendig. Apple macht es Passwortknackern aber definitiv zu leicht.

Noch unverständlicher erscheint, dass selbst ein Lion-Nutzer ohne Administratorrechte das Passwort eines anderen Nutzers ändern kann. Dafür genügt schon die Eingabe des Befehls „dscl localhost -passwd /Search/Users/USERNAME“ im Terminal. Ändern lassen sich damit offenbar auch die Passwörter für Konten mit Adminrechten. Entgegen einigen Medienberichten ist die Änderung jedoch nur bei einem gerade angemeldeten Nutzer möglich. Einige Anwender berichten außerdem davon, dass sich Passwörter nicht in allen Lion-Installationen ändern lassen. Die Sicherheitslücke betrifft demnach vor allem Rechner mit vorinstalliertem Lion oder kompletter Neuinstallation anstelle eines Upgrades von der Vorversion.

Sicherheitsforscher Dunstan entwirft in seinem Blogeintrag bei Defence in Depth ein theoretisches Szenario, bei dem ein Nutzer mit Adminrechten beim Surfen mit Safari zum Opfer eines Malware-Angriffs wird. Der Angreifer könnte in diesem Fall das Passwort des angemeldeten Nutzers ändern und sich über „sudo -s“ Rootrechte verschaffen. Bei einem Nutzer ohne besondere Rechte könnte er noch immer die Passwort-Hashes aus dem System auslesen und versuchen, die Passwörter zu knacken.

Apple hat wie üblich noch nicht Stellung genommen, aber ein Sicherheitspatch ist zu erwarten. Bis dahin empfiehlt ZDNets Schwestersite CNET.com einige Sicherheitsvorkehrungen: Ein automatisches Log-in sollte deaktiviert werden. Passwörter für das Aufwachen aus dem Ruhezustand und Beenden des Bildschirmschoners verhindern Zugriffe, wenn der Nutzer nicht am Rechner sitzt. Wer keine Adminrechte benötigt, sollte auch nur über eingeschränkte Rechte verfügen. Gastaccounts sind auszuschließen; zudem empfiehlt sich die Schließung nicht regelmäßig genutzter Konten.