¿Cómo desactivo o elimino la count raíz creada como efecto secundario de este error de security de High Sierra?

Este artículo describe un error por el que ingresar la raíz cuando se le solicita un deslocking le permite a cualquier usuario desbloquear las preferences del sistema. Advierte que:

No hay necesidad de hacer esto usted mismo para verificarlo. Hacerlo crea una count "raíz" que otros pueden aprovechar si no la deshabilita.

  • Error de permissions al download o files adjuntos de aspecto rápido en mail.app después de enlazar simbólicamente el directory de descargas de correo
  • Cambiar el background del escritorio en OS X 10.8 solo lo cambia para el espacio de escritorio actual
  • iTunes Sync Error: iPhone no se puede sincronizar. Se produjo un error desconocido (-54)
  • El mes 13 está fuera de límites?
  • ¿Cómo evitar el error de command "say" al configurar el volumen?
  • Pantalla gris después de instalar Yosemite
  • El artículo no describe qué hacer si un ingeniero demasiado entusiasta reprodujo el problema y ahora necesita eliminar o deshabilitar la count raíz.

    ¿Cómo se puede desactivar o eliminar esta count de forma segura?

    Esta página de Apple describe cómo deshabilitar la count, pero esto no protege contra el error porque la falla solo puede volver a habilitar la count. Funcionará para restaurar el sistema a su estado normal con la raíz deshabilitada una vez que se solucione el error de security.

    Actualización 2017-11-29 16:43 UTC

    Consulte Acerca del contenido de security de la Actualización de security 2017-001 para actualizar macOS High Sierra para protegerse de la omisión de la authentication del administrador sin proporcionar la contraseña del administrador.

  • Vulnerabilidad y administración de parches en macOS: ¿qué funciona?
  • ¿Cómo puedo generar numbers aleatorios criptocharts en OSX?
  • ¿Puedo averiguar si mi empleador está fisgoneando en mí?
  • Desactivar la visualización de letras en la contraseña (iOS)
  • ¿Cómo debo enviar informes de errores y requestes de funciones?
  • Aplicaciones sin escrúpulos en iTunes: ¿una count bancaria hackeada por un comerciante de iTunes?
  • 6 Solutions collect form web for “¿Cómo desactivo o elimino la count raíz creada como efecto secundario de este error de security de High Sierra?”

    Parche disponible, haga clic aquí, o simplemente actualice en la máquina

    Curiosamente, no hay parche para las versiones beta y de desarrollador de OSX, hasta donde yo sé. Actualizaré esta respuesta tan pronto como me entere de ellos.

    Descargue el parche de arriba. Dejando el rest de la publicación para la historia 🙂

    El CVE es CVE-2017-13872 y el NIST actualizará el análisis en el futuro cercano.

    Respuesta original, relevante sin parche

    En primer lugar, no desactive la count raíz a través de la GUI, ya que la causa del problema es tener una count raíz "deshabilitada".

    Deberá habilitar al usuario raíz y darle una contraseña. Esto es importante , ya que la vulnerabilidad también está disponible de forma remota, a través de VNC y Apple Remote Desktop (por nombrar algunos) (otra fuente) .

    Hay dos forms básicas de hacer esto; GUI y terminal.

    Primero, GUI

    Para habilitar la count raíz, vaya a "Directory Utility", es decir, cmd + espacio y búsqueda. Presione el candado para desbloquear el "modo de administrador", luego habilite la count raíz a través de editar -> "Activar usuario raíz".

    Cómo habilitar la raíz

    Debería pedir una contraseña de root, por ahora ingrese su contraseña normal (para que no la olvide). Si no solicita una contraseña, use Editar -> "Cambiar contraseña raíz …" más arriba.

    Terminal

    Si es más una persona terminal, use lo siguiente:

    sudo passwd -u root ## Enter passwords as needed.... ## (if you are using the terminal you should know what you are doing...) 

    Esto es suficiente con un terminal, el problema con la forma de GUI es que tenemos que habilitar la count para establecer una contraseña, que no tenemos que hacer con el terminal.

    Notas

    Incluso si tiene una contraseña configurada para la count raíz de su computadora, se volverá vulnerable si deshabilita la count raíz. La acción de deshabilitar la count raíz parece ser la culpable. Así que repito, el usuario root debe estar habilitado y tener una contraseña si usa la GUI, mientras que a través del terminal solo usar'passwd 'es "ok" (aunque este estado es inalcanzable solo a través de la GUI). Parece que el "Deshabilitar usuario raíz" en "Utilidad de directory" elimina la contraseña de la count raíz, en cierto sentido, le proporciona una count raíz sin contraseña que es vulnerable.

    Parece que intentar iniciar session con "root" en una window de inicio de session de los sistemas habilita la count raíz si está deshabilitada previamente. Es decir, con una count raíz deshabilitada necesita ingresar root dos veces en una window de inicio de session del sistema para get acceso a la raíz y (de acuerdo con mis testings) en el primer bash la count raíz está habilitada (sin contraseña si no se establece mediante passwd ). y en el segundo bash sigues adelante.

    Parece que el problema ha estado abierto desde al less el 2017-11-13 (13 de noviembre), cuando se menciona en el foro de soporte de Apple .

    Por favor, demuéstrame que estoy equivocado, realmente agradecería estar equivocado en este momento.

    Scary actualización

    Después de habilitar la count raíz sin contraseña (es decir, a través del panel de preferences del sistema y hacer clic en "bloquear" e ingresar "raíz" con contraseña en blanco una, dos o tres veces (cantidad de veces depende del estado inicial)) es posible iniciar session en la computadora desde la pantalla de inicio de session principal usando "root" y una contraseña en blanco (!). SSH / Telnet no parece funcionar, pero Apple Remote Desktop, Screen Sharing y VNC son vulnerables.

    Entonces, para los administradores de networkinges puede ser interesante colocar packages temporalmente en los siguientes puertos:

    • 5900-5905 (ish, ser ninja safe) para get los puertos VNC más comunes. VNC comienza en 5900 de forma pnetworkingeterminada y se enumera hacia arriba si está utilizando pantallas múltiples (sin embargo, poco común). Screen Sharing y Apple Remote Desktop también parecen usar estos puertos ( list de puertos de software de Apple )
    • 3283 y 5988 para Apple Remote Desktop ( list de puertos de software de Apple )

    Lectura adicional:

    Un valiente bash de hacer reference a otras fonts que se ocupan del problema. Edite y actualice mi respuesta si tiene más.

    • Artículo de Hackernews
    • Artículo de Arstechnica
    • Artículo de Techcrunch
    • Objetivo: ver el blog que explica el error (no he actualizado esta respuesta para que coincida plenamente con la explicación técnica, lo haré esta noche, pero está lo suficientemente cerca para un lego)
    • Página de MITRE para CVE
    • Entrada NIST para CVE
    • La input original de 2017-11-13 en los foros de desarrolladores de Apple (desde 2017-11-30 eliminado por Apple)
    • Enlace de caching de Google a la input original en los foros de desarrolladores de Apple (desde 2017-12-01 eliminado de la caching de Google)
    • Captura de pantalla del anterior forumpost por chethan177: Mensaje original del foro

    Si no puede instalar el parche oficial o no quiere confiar en que funcionó, entonces

    No desea deshabilitar usuario root en High Sierra solamente.

    Para asegurar su Mac, habilite root con una contraseña segura larga.

    No estamos cambiando esto en el trabajo hasta que se publique la próxima versión de punto completo para macOS, que probablemente sería 10.13.2


    A less que realice una acción, el usuario raíz se desactiva de inmediato y esto es malo si su Mac no está parchada correctamente.

    Si lo desea, opcionalmente endurezca el caparazón hasta que Apple tenga un parche o corrección oficial.

    Aquí hay una buena secuencia de commands para establecer una contraseña raíz aleatoria y cambiar / establecer el shell raíz en /usr/bin/false para que incluso si se adivina la contraseña, el shell raíz no puede iniciar session:

    Básicamente hace tres cosas key:

     rootpassword=$(openssl rand -base64 32) /usr/bin/dscl . -passwd /Users/root "$rootpassword" /usr/bin/dscl . -create /Users/root UserShell /usr/bin/false 

    La creación de UserShell es si el shell no está configurado, y el script completo verifica si hay un shell existente y lo -change en lugar de -create .

    ¿Cómo me protejo de la vulnerabilidad de raíz en macOS High Sierra?

    Ejecute una actualización de software desde App Store. Apple lanzó una actualización de security esta mañana.

    • Acerca del contenido de security de la Actualización de security 2017-001

    • Actualizaciones de security de Apple

    Debe iniciar session como usuario root y cambiar la contraseña a algo fuerte. Si realmente crea una count nueva (en lugar de habilitar la count raíz ya existente) primero debe eliminar esa count.

    Apple acaba de lanzar una actualización para solucionar el problema.

    Actualización de security 2017-001 https://support.apple.com/en-us/HT208315

    Además, para evitar el acceso no autorizado a sus computadoras Mac, debe habilitar la count de usuario raíz y establecer una contraseña específicamente para el usuario raíz.

    https://support.apple.com/en-ph/HT204012

    Si su count de usuario raíz ya está activa, asegúrese de cambiar la contraseña solo para asegurarse de que la vulnerabilidad de contraseña en blanco no esté establecida.

    ¡No! ¡No elimine la count raíz!

    En primer lugar, root ha estado presente en todas las versiones de macOS, Mac OS X, Mac OS e incluso versiones antiguas del sistema operativo. macOS no creó recientemente esta count debido a una vulnerabilidad. Simplemente lo expuso por crash.

    Eliminar root sería una muy mala idea, y déjame decirte por qué.

    Sería completamente paralizante macOS, ya que no habría una count con suficientes privilegios para ejecutar services críticos (como WindowServer, que ejecuta la GUI). Existen medidas de security para evitar que los usuarios desorientados eliminen la root y no debe intentar eludirlas.

    Descubramos quién ejecuta los primeros processs en el sistema, los processs más importantes (usando el Monitor de actividad):

    kernel_task y launchd también son propiedad de

    ¡Oye, es nuestra root amigable del vecindario otra vez! El primer process (con PID 0) está realmente controlado por el kernel, y probablemente tendrá permissions completos de todos modos, pero su process hijo, launchd (responsable de iniciar services como la window de inicio de session y el propio server de windows) se inicia con los privilegios de root Si root no existía, este process nunca se habría iniciado o no tendría permissions.

    Asegurando la count raíz

    Otras respuestas han proporcionado un parche lanzado por Apple que debería solucionar el problema. Sin embargo, si no puede o no quiere instalarlo …

    Funciona porque macOS vuelve a codificar la contraseña introducida como una "actualización" porque la count deshabilitada (raíz) se detectó incorrectamente como si tuviera un hash antiguo. Seguirá diciendo que es incorrecto, pero la próxima vez, los hash coincidirán (porque macOS lo cambió) y te dejará entrar.

    Para asegurar la root , tendrá que usar la Utilidad de directory. Hay dos forms de acceder a él:

    1. Use Spotlight. Iniciar la Utilidad de directorio usando Spotlight
    2. Use Finder. Abra Buscador, presione Comando + Mayús + G (o select, ingrese /System/Library/CoreServices/Applications/ , y presione Ir (o presione Entrar). A continuación, abra la Utilidad de directory desde allí. Seleccionando Go Seleccionando a dónde ir Abrir la utilidad de directorio

    Una vez que haya abierto Directory Utility, tendrá que haga clic en el candado para hacer cambios

    Después de hacerlo, select Change Root Password o Enable Root User en el menu Editar. Muestro Change Root Password ya que mi count de root ya está habilitada con una contraseña segura.

    Seleccionar la contraseña de cambio de raíz

    Elija una contraseña, y ahora la contraseña en blanco ya no funcionará.

    Elegir una contraseña

    ¡Felicitaciones! Ya no eres vulnerable al hack de raíz.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).