Kloktruc geeft rootrechten op Mac OS X en Ubuntu

© CIDimport

Kloktruc geeft rootrechten op Mac OS X en Ubuntu

Geplaatst: 6 maart 2013 - 05:34

Aangepast: 16 november 2022 - 10:06

Jasper Bakker

Een fout in beheercommando sudo geeft hackers volledige rootrechten op Mac OS X en Linux-distributie Ubuntu. Een reset naar de begintijd van Unix is de truc.

Kwaadwillenden kunnen via een fout in het sudo-commando diepgaande rechten krijgen op Unix-achtige besturingssystemen, waaronder Mac OS X en Linux-distributie Ubuntu. Het letterlijk terugdraaien van de systeemklok naar de officiële Unix-begintijd opent de deur naar de root.

Randvoorwaarden

Voor misbruik van deze sudo-fout moet wel worden voldaan aan enkele randvoorwaarden, die de (mis)bruikbaarheid van dit beveiligingsgat wat inperken. Allereerst moet een kwaadwillende fysieke toegang tot de machine in kwestie hebben. Ten tweede moet die computer niet op slot staan met een gebruikerswachtwoord. Ten derde moet de momenteel ingelogde gebruiker al eens eerder succesvol sudo hebben gebruikt.

Dit lijken omstandigheden die misbruik nagenoeg uitsluiten, maar dat is niet helemaal het geval. Veel gewone gebruikers die applicaties installeren, doen dat via sudo. Als zij hun computer niet vergrendelen (met hun wachtwoord) en even afwezig zijn, kan een kwaadwillende achter dat systeem plaatsnemen om zichzelf de rootrechten van die gebruiker toe te eigenen.

Eerste gebruikersaccount

Ook dat lijkt mee te vallen, maar gewone gebruikers kunnen vergaande rechten hebben. Op zowel Ubuntu als Mac OS X is de gebruiker die tijdens de OS-installatie als eerste is aangemaakt lid van de beheerdersgroep. Die gebruiker kan sudo uitvoeren voor alle beschikbare commando's op het systeem, meldt it-nieuwssite The H.

Gewone gebruikers kunnen via sudo roottoegang krijgen mits zij zijn opgenomen in het sudo-bestand. Dit betekent dat de eigenlijke beheerder van het systeem die gebruikers rootrechten - al dan niet in beperkte mate - heeft toebedeeld. Een beheerder kan zo dus zijn of haar autoriteit delegeren aan gebruikers.

Unix-oertijd

Een wel redelijk beperkende factor voor het beveiligingsgat is de vereiste dat de systeemtijd wordt teruggedraaid, naar 1 januari 1970. Dit is de zogeheten epoch-tijd van het Unix-besturingssysteem, waar het deels van BSD afgeleide Mac OS X en Linux-distributie Ubuntu gebruik van maken. Beide besturingssystemen hanteren die datum als begin voor hun interne tijdsmeting.

Het aanpassen van de systeemklok vereist normaliter de invoer van het rootwachtwoord, of van een gebruikerswachtwoord met beheerdersprivileges. Het is echter mogelijk de tijdinstelling niet dusdanig op slot te hebben staan. In dit geval kan een hacker de tijd terugdraaien en zo sudo-rechten van de ingelogde gebruiker benutten. Bijvoorbeeld om commando's uit te voeren of eigen software te installeren.

Nog niet dicht op Macs

De kwetsbaarheid komt voort uit de instelling dat sudo-gebruik na een eerste, succesvolle, authenticatie een korte tijd 'open' blijft. Een gebruiker hoeft dan bij een kort erop volgende tweede sudo-handeling niet opnieuw zijn of haar wachtwoord in te voeren. Deze periode staat standaard ingesteld op vijf minuten.

Nieuwere versies van Sudo zijn op 27 februari verschenen om dit beveiligingsgat te dichten. Ubuntu heeft die updates opgenomen in zijn Linux-distributie. De huidige OS X-versie 10.8.2 gebruikt echter nog een oudere, kwetsbare sudo-versie. Macs wachten dus op een update van Apple.

Update:

Naast de Unix-achtige besturingssystemen Mac OS X en Ubuntu is ook Fedora geraakt door deze sudo-fout. Voor die Linux-distributie (afkomstig van Red Hat) is een securitypatch beschikbaar.

Deel dit artikel
Voeg toe aan favorieten