פרצת אבטחה משמעותית התגלתה עם macOS High Sierra, שעלולה לאפשר לכל אדם להיכנס ל-Mac עם יכולות ניהול שורש מלאות ללא סיסמה.

זו בעיית אבטחה דחופה, ולמרות שעדכון תוכנה אמור להגיע כדי לפתור את הבעיה בקרוב, מאמר זה יפרט כיצד להגן על ה-Mac שלך מפני חור האבטחה הזה.

עדכון חשוב: אפל פרסמה את עדכון אבטחה 2017-001 עבור macOS High Sierra כדי לתקן את באג ההתחברות לשורש, הורד אותו עכשיו. אם אתה מפעיל את macOS High Sierra, הורד את העדכון בהקדם האפשרי ל-Mac שלך.

מהו באג הכניסה לבסיס, ולמה זה משנה?

לכמה רקע מהיר, חור האבטחה מאפשר לאדם להזין 'root' כשם משתמש ולאחר מכן להיכנס מיד כ-root למק, ללא סיסמה. הכניסה לבסיס ללא סיסמה יכולה להתרחש ישירות עם מחשב פיזי במסך ההתחברות הכללי של המשתמש שנראה בעת האתחול, מלוחות העדפות המערכת שבדרך כלל דורשות אימות, או אפילו דרך VNC ו-Remote Login אם שתי תכונות הגישה מרחוק האחרונות הללו מופעלות. כל אחד מהתרחישים הללו מאפשר גישה מלאה למחשב MacOS High Sierra מבלי להשתמש בסיסמה.

חשבון משתמש שורש מספק את הרמה הגבוהה ביותר של גישה למערכת האפשרית ב-MacOS או בכל מערכת הפעלה מבוססת יוניקס, שורש מעניק את כל היכולות של חשבונות משתמש ניהוליים במחשב בנוסף לגישה בלתי מוגבלת לכל רמת מערכת רכיבים או קבצים.

משתמשי Mac שהושפעו מבאג האבטחה כוללים כל מי שמפעיל את macOS High Sierra 10.13, 10.13.1 או 10.13.2 בטא שלא הפעילו בעבר את חשבון השורש או שינו סיסמת חשבון משתמש שורש ב-Mac. לפני, שזה הרוב המכריע של משתמשי Mac המריצים High Sierra.

נשמע רע, נכון? זה כן, אבל יש פתרון קל למדי שימנע מבאג האבטחה הזה להוות בעיה. כל שעליך לעשות הוא להגדיר סיסמת שורש ב-Mac המושפע.

כיצד למנוע התחברות Root ללא סיסמה ב-MacOS High Sierra

ישנן שתי גישות למניעת התחברות לשורש ללא סיסמה במחשב MacOS High Sierra, אתה יכול להשתמש ב- Directory Utility או בשורת הפקודה. נכסה את שניהם. תוכנית השירות Directory היא אולי קלה יותר עבור רוב המשתמשים מכיוון שהיא מושגת לחלוטין מהממשק הגרפי ב-Mac, בעוד שגישת שורת הפקודה מבוססת על טקסט ובדרך כלל נחשבת למורכבת יותר.

Using Directory Utility to Lock Down Root

1. פתח את Spotlight ב-Mac על ידי לחיצה על Command+מקש רווח (או לחיצה על סמל Spotlight בפינה השמאלית העליונה של שורת התפריטים) והקלד "Directory Utility" ולחץ על חזרה כדי להפעיל את האפליקציה



2. לחץ על סמל המנעול הקטן בפינה ואמת באמצעות התחברות לחשבון מנהל



3. כעת משוך מטה את תפריט "ערוך" ובחר "שנה סיסמת בסיס..."



4. הזן סיסמה עבור חשבון המשתמש השורש ואשר ולאחר מכן לחץ על "אישור"



5. סגור מחוץ למדריך השירותים

אם חשבון המשתמש השורש עדיין לא מופעל, בחר "הפעל משתמש בסיס" ולאחר מכן הגדר סיסמה במקום זאת.

בעיקרון כל מה שאתה עושה הוא הקצאת סיסמה לחשבון השורש, כלומר, כניסה עם שורש תדרוש סיסמה כמו שצריך. אם אינך מקצה סיסמה ל-root בדרך זו, באופן מדהים, מכשיר macOS High Sierra מקבל התחברות שורש ללא סיסמה כלל.

שימוש בשורת הפקודה להקצאת סיסמת בסיס

משתמשים שיעדיפו להשתמש בשורת הפקודה ב-macOS יכולים גם להגדיר או להקצות סיסמת שורש עם sudo והפקודה הרגילה passwd.

1. פתח את אפליקציית Terminal, שנמצאת ב- /Applications/Utilities/
2. הקלד את התחביר הבא בדיוק בטרמינל, ואז הקש על מקש החזרה:

sudo passwd root

3. הזן את סיסמת האדמין שלך לאימות ולחץ על החזר
4. ב"סיסמה חדשה", הזינו סיסמה שלא תשכחו, הקש על חזרה ואשר אותה

הקפד להגדיר את סיסמת השורש למשהו שתזכור, או אולי אפילו תואם את סיסמת המנהל שלך.

איך אני יודע אם ה-Mac שלי מושפע מבאג הכניסה לבסיס ללא סיסמה?

נראה שרק מכונות macOS High Sierra מושפעות מבאג אבטחה זה. הדרך הקלה ביותר לבדוק אם ה-Mac שלך פגיע לבאג הכניסה לשורש היא לנסות ולהיכנס כ-root, ללא סיסמה.

תוכל לעשות זאת ממסך הכניסה הכללי לאתחול, או דרך כל פאנל אימות מנהל (לחיצה על סמל המנעול) הזמין בהעדפות מערכת כמו FileVault או Users & Groups.

פשוט שים 'root' בתור המשתמש, אל תזין סיסמה, ולחץ על "בטל נעילה" פעמיים - אם הבאג משפיע עליך, אתה תיכנס כ-root או תינתן הרשאות שורש. עליך ללחוץ על "בטל נעילה" פעמיים, בפעם הראשונה שאתה לוחץ על כפתור "ביטול נעילה" זה יוצר את חשבון השורש עם סיסמה ריקה, ובפעם השנייה שאתה לוחץ על "ביטול נעילה" הוא מתחבר, ומאפשר גישה מלאה לשורש.

הבאג, שהוא בעצם ניצול שורש של 0 ימים, דווח לראשונה לציבור בטוויטר על ידי @lemiorhan וזכה במהירות לקיטור ותשומת לב תקשורתית עקב חומרת ההשפעה הפוטנציאלית. אפל כנראה מודעת לבעיה ועובדת על עדכון תוכנה כדי לפתור את הבעיה.

האם באג הכניסה לשורש משפיע על macOS Sierra, Mac OS X El Capitan או לפני כן?

נראה כי באג ההתחברות הבסיסי ללא סיסמה משפיע רק על macOS High Sierra 10.13.x ולא נראה שהוא משפיע על גרסאות קודמות של תוכנת מערכת macOS ו-Mac OS X.

בנוסף, אם הפעלת בעבר את root באמצעות שורת הפקודה או באמצעות מדריך השירותים, או שינית את סיסמת השורש במועד אחר, הבאג לא יעבוד על מחשב כזה של macOS High Sierra.

זכור, אפל מודעת לבעיה זו ותוציא עדכון אבטחה בעתיד הקרוב כדי לטפל בבאג. בינתיים, עשה לעצמך טובה והגדר או שנה את סיסמת השורש במחשבי Mac עם macOS High Sierra כדי להגן עליהם מפני גישה מלאה בלתי מורשית למחשב ולכל הנתונים והתכנים שלו.