Kriittinen haavoittuvuus macOS-käyttöjärjestelmässä antaa mahdollisuuden korottaa luvatta käyttövaltuuksia

Apple Mac-tietokoneiden macOS-käyttöjärjestelmän uusimmasta versiosta (10.13 High Sierra) paljastui tiistaina 28.11.2017 haavoittuvuus, jota hyväksikäyttämällä tietokoneen käyttäjä voi korottaa käyttövaltuuksiaan pääkäyttäjätasolle. Tässä artikkelissa kerromme haavoittuvuudesta, sen vaikutuksista ja suojautumiskeinoista kysymyksin ja vastauksin. Apple julkaisi korjaavan päivityksen 29.11.2017.

Onko Mac-tietokoneeni vaarassa?

Jos tietokoneeseesi on asennettu macOS-käyttöjärjestelmän uusin versio 10.13.1, nimeltään High Sierra ja et ole asentanut järjestelmään 28.11. julkaistuja tietoturvapäivityksiä, niin tietokoneessasi on kyseinen haavoittuvuus ja se voi olla vaarassa. Jos tietokoneessasi on jokin muu käyttöjärjestelmän versio, siinä ei ole kyseistä haavoittuvuutta eikä se ole vaarassa.

Mac-tietokoneen käyttöjärjestelmän version voi tarkastaa esimerkiksi Apple-menun (Apple-omenan kuva) About This Mac -kohdasta.

Onko iPadini, iPhoneni tai muut Apple-tuotteeni vaarassa?

Eivät ole. Haavoittuvaa käyttöjärjestelmää käytetään vain Applen kannettavissa ja pöytätietokoneissa.

Miten vaara ilmenee?

Vaaran ymmärtämiseksi täytyy tietää hieman taustaa tietokoneen käyttäjätileistä. Kaikissa Mac-tietokoneissa on sisään rakennettuna root-niminen käyttäjätili, jolla on oikeudet tehdä mitä tahansa muutoksia tietokoneen asetuksiin ja tietokoneella oleviin tietoihin ja lukea tietoja. Suuren voiman hallitsemiseksi root-käyttäjätiliä ei yleensä käytetä suoraan vaan käyttöjärjestelmän ylläpitoa hoitaville sovelluksille annetaan tarpeen mukaan hetkellisesti root-käyttäjän oikeudet. Siksi root-käyttäjätilille ei yleensä ole asetettu ollenkaan salasanaa eli sitä käyttäen ei voi kirjautua tietokoneelle millään salasanalla – ei edes tyhjällä salasanalla.

Haavoittuvassa macOS High Sierra -käyttöjärjestelmässä on ohjelmointivirhe, jota hyväksikäyttäen root-käyttäjätilin voi ottaa käyttöön ja salasana voidaan asettaa. Näin ollen normaalikäyttäjä (tai vaikkapa vieraskäyttäjä "Guest") saa käyttöönsä laajemmat käyttöoikeudet kuin hänelle on tarkoitettu. Emme kerro tässä tarkkaa tapaa, jolla toimenpide tehdään, mutta menetelmä ei edellytä erityisiä tietoteknisiä taitoja.

Tämänhetkisten tietojemme mukaan salasanan voi asettaa seuraavissa tapauksissa:

  • tapauksissa, jos hyökkääjä pääsee fyysisesti käsiksi käynnissä olevaan tietokoneeseen ja jokin koneen käyttäjistä on kirjautunut sisälle
  • jos etäkäyttötoiminto (Apple Remote Desktop / Screen sharing) on käytössä, voi samassa verkossa oleva hyökkääjä ottaa käyttöön root-käyttäjätilin, vaikka käyttäjä ei olisikaan kirjautuneena tietokoneeseen. Tietokoneen tulee kuitenkin olla päällä.
  • jos mac-tietokoneen vieraskäyttäjätili on aktivoituna, voi hyökkääjä kirjautua koneeseen vieraana ilman salasanaa ja tämän jälkeen ottaa root-käyttäjätilin käyttöön.
  • hyökkääjä saa normaalin käyttäjän suorittamaan haittaohjelman, joka ottaa käyttöön root-käyttäjän; käyttäjä voidaan esimerkiksi huijata suorittamaan haittaohjelma tai hyökkääjä voi käyttää jotakin muuta ohjelmistohaavoittuvuutta haittaohjelman luvattomaan suorittamiseen

Kun root-käyttäjä on otettu käyttöön ja salasana on asetettu, kuka tahansa voi kirjautua tietokoneelle root-käyttäjänä ja tehdä sillä mitä tahansa. Hyväksikäyttöä voi olla mahdoton huomata jälkikäteen.

Miten voin torjua vaaran?

Vaaran voi torjua kattavasti haavoittuvuuden korjaavalla ohjelmistopäivityksellä. Päivitys kannattaa asentaa Macin App Storen kautta.

Haavoittuvuutta ei voi käyttää root-käyttäjätilin salasanan asettamiseen, jos käyttäjä on jo asettanut sille jonkin salasanan. Jos root-käyttäjätilille asetetaan salasana, sen tulee olla vahva. Apple on julkaissut ohjeen root-käyttäjätilin käyttöönotosta ja salasanan vaihtamisesta: How to enable the root user on your Mac or change your root password.

Älä anna tietokonettasi epäluotettujen henkilöiden käsiin tai ainakin tarkkaile jatkuvasti, mitä he tietokoneellasi tekevät.

Poista tietokoneestasi käytöstä Screen Sharing -toiminto:

  1. Valitse Apple-valikosta kohta System Preferences.
  2. Valitse avautuneesta ikkunasta Sharing-kuvake.
  3. Varmista, että Screen Sharing -kohdassa ei ole rastia.

Rikolliset pyrkivät luultavasti huijaamaan käyttäjiä lähettämällä esimerkiksi sähköpostia, jossa väitetään korjaavan ohjelmistopäivityksen olevan liitetiedostossa tai jollakin verkkosivulla. Siksi päivitys kannattaa hakea ainoastaan Macin App Store -sovelluksella.

Miksi näin pääsi käymään?

Kaikissa tietokoneohjelmissa on ohjelmointivirheitä. On harmillista, että Applelta pääsi käyttöön virhe näin tärkeässä ohjelmiston osassa, mutta ohjelmointivirhe ei sinällään ole poikkeuksellinen Applelle tai muille ohjelmistojen valmistajille.

Tieto kyseisestä ohjelmointivirheestä pääsi kuitenkin julkisuuteen ennen kuin Apple oli ehtinyt valmistaa virheen korjaavaa ohjelmistopäivitystä. Nyt pahantahtoiset henkilöt pystyvät käyttämään virhettä hyväksi ennen kuin hyökkäykseltä pystytään suojautumaan tehokkaasti.

Ohjelmisto- ja tietoturva-alalla suositaan yleisesti vastuullisen ilmoittamisen käytäntöä (englanniksi responsible disclosure), jossa haavoittuvuuden löytäjä kertoo siitä aluksi vain ohjelmiston valmistajalle ja muille luotetuille tahoille. Osapuolet työskentelevät yhdessä haavoittuvuuden korjaamiseksi ja löytäjä saa avustaan vähintään julkisen kiitoksen ja joskus myös rahallisen palkkion. Viestintäviraston Kyberturvallisuuskeskuksesta saa apua haavoittuvuuksien vastuulliseen ilmoittamiseen.

Emme toistaiseksi tiedä, miksi virheen hyväksikäyttömenetelmän julkaissut henkilö julkaisi asian jo tässä vaiheessa.

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Exploit , Haavoittuvuuskoordinointi , Salasana , Työasema , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248