917479

Wollen wir sie reinlassen?

02.12.2003 | 16:52 Uhr |

Noch immer hat Apple kein Update zu dem in der vergangenen Woche entdeckten DHCP-Sicherheitsloch bereit gestellt. Lässt Apple die Anwender hängen, setzt sie einem undefinierbaren Risiko aus? Wie unsicher ist ein Mac, der von diesem Sicherheitsloch betroffen ist?

Negative Schlagzeilen über Mac-OS X 10.3 gab es seit dem Release vor ein paar Wochen schon genug. Da hat die Meldung eines Sicherheitswächters, dass es einen gefährlichen Bug im DHCP-Daemon von Panther geben würde, gerade noch gefehlt. Tatsächlich ist diese Sache nicht auf die leichte Schulter zu nehmen, sollte sich Apple schnellstens um ein Sicherheitsupdate bemühen. William Carrel, der Entdecker des DHCP-Bugs, scheint mit Apple mehrfach in Kontakt gestanden zu haben, hat den Entwicklern in Cupertino die in der Branche üblichen zwei Wochen Reaktionsfrist eingeräumt, bevor er die Sicherheitslücke veröffentlichte.

Was Carrel entdeckte: Mac-OS X 10.3 bezieht in einem Netz, in dem ein DHCP-Server (Dynamic Host Configuration Protocol) IP-Adressen an angeschlossene Rechner verteilt, Informationen über Verzeichnisdienste automatisch. Was für den Anwender eigentlich sehr praktisch ist, kann unter Umständen zum Bumerang werden. In einem LDAP- oder Netinfo-Verzeichnis (Lightweight Directory Access Protocol) können neben den Namen, Telefonnummern und E-Mail-Adressen der Mitarbeiter einer Firma auch Daten über Usernamen und Passwörter hinterlegt sein. Möchte sich ein Benutzer auf unter Mac-OS X in ein System einwählen, prüft Panther zunächst einmal, welche lokalen Besitzer existieren. Wird es in diesen Datensätzen nicht fündig, kommt ein per DHCP übermittelter LDAP- oder Netinfo-Server ins Spiel. Erst wenn auch diese Suche kein Ergebnis bringt, lehnt Mac-OS X einen Login ab.

An dieser Stelle ist das Sicherheitsloch, eigentlich so groß wie ein Scheunentor. Panther überprüft in keiner Weise, ob die angemeldeten LDAP- beziehungsweise Netinfo-Server überhaupt zum eigenen Netz gehören. Theoretisch kann sich ein Angreifer diese Schwäche zunutze machen, indem er für verschiedene Rechner einen DHCP-Server vorgaukelt, IP-Adressen vergibt und gleich noch eine manipulierte LDAP-Datenbank mitliefert. Nun wählt sich der Angreifer per Telnet oder SSH auf einem Mac ein und kann sich das System mit einem Namen und Passwort zugänglich machen, den er selbst in sein gefälschtes Verzeichnis eingegeben hat. Und als wäre das schon nicht schlimm genug, bekommt der Angreifer durch diese Methode auf Wunsch sogar die Rechte eines Superusers (root). Im Klartext: Er kann auf dem Rechner machen was er will - Dateien kopieren, Dateien löschen und sogar den Mac einfach herunterfahren (passender Terminalbefehl wäre übrigens "shutdown now").

Apple hat nach Carrels Entdeckung immerhin in einem Knowledge-Base-Artikel erwähnt, dass sich über das Dienstprogramm "Verzeichnisdienste" die automatische Annahme von Netinfo- und LDAP-Servern per DHCP unterbinden lässt. Als sicherheitsbewusster Anwender sollte dieser Hinweis nicht ungehört im Alltag untergehen, das Problem ist nicht auf die leichte Schulter zu nehmen. Dennoch sollte im Zuge der Diskussion um Sicherheit gegenwärtig sein, dass nicht jeder private oder geschäftliche Mac-Nutzer ein potenzielles Angriffsziel für hinterhältige Hacker ist. So bleibt die Simulation eines DHCP-Servers in einem Firmennetz, in dem sich bereits ein anderer Server um die IP-Zuteilung kümmert, nicht unentdeckt - im Gegenteil, das dabei entstehende Nummernchaos dürfte recht schnell auffliegen. Auch DSL-Benutzer, die per Router ins Internet gelangen, sind von diesem Loch nicht betroffen. Benutzer von Wireless-LAN-Zugängen (Airport) sollten etwas mehr Vorsicht walten lassen, aber das ist eigentlich auch keine neue Erkenntnis.

In diesem Sinne: Deaktivieren Sie bei den Verzeichnisdiensten den DHCP-Service. Nur wenige Firmen bieten LDAP oder Netinfo für das Netz, somit kann ein Großteil der Benutzer auf diese Funktion ohnehin verzichten. Und sollte es doch einmal einen LDAP-Dienst geben, lassen sich die Daten des Servers auch komfortabel über das Programm "Verzeichnisdienste" manuell hinzufügen. It's that easy.

Info: William Carrel Security Advisory

0 Kommentare zu diesem Artikel
917479