Sembra che Apple non possa prendersi una pausa. iOS ha avuto la sua giusta quota di bug ma un file è stato appena scoperto un nuovo bug in macOS High Sierra che consente a chiunque di accedere all’utente root senza aver bisogno della password per l’account utente corrente. Non importa se l’account è l’account amministratore o meno. Questo exploit fornisce l’accesso completo al sistema e consente all’aspirante aggressore di creare e utilizzare l’account di root. La buona notizia è che è abbastanza facile correggere il bug di accesso root di macOS High Sierra.
Aggiornamento: Apple ha rilasciato una patch. Verifica la disponibilità di un aggiornamento per High Sierra e installalo subito.
Bug di accesso root di High Sierra
Quando apporti modifiche nelle Preferenze di Sistema, a volte devi fornire l’accesso come amministratore o almeno inserire la password per il tuo utente corrente. Ciò che fa questo bug è che, quando vai alla preferenza Utenti e gruppi in cui puoi creare e modificare utenti, ti consente di sbloccare l’utente root. Non è necessario inserire la password per apportare modifiche. Se invece inserisci “root” nel nome utente e lasci vuoto il campo della password, verrà accettata. Sarai quindi in grado di apportare modifiche all’utente e praticamente a tutto il resto sul sistema. Inoltre, aggiungerà l’utente “root” alla schermata dell’account dove potrai nuovamente accedere senza password.
La correzione
La soluzione è piuttosto semplice; abilita tu stesso l’utente root e aggiungi una password. Fondamentalmente sei tu ad arrivare all’utente root prima che chiunque altro sia in grado di usarlo per sfruttare il tuo sistema.
Apri Preferenze di sistema e vai su Utenti e gruppi. Fare clic sull’icona del lucchetto in basso a sinistra e inserire la password quando richiesto. Quindi, fai clic su “Opzioni di accesso” nella parte inferiore del pannello di sinistra. Fare clic su “Partecipa” accanto a Server account di rete.
Si aprirà un nuovo pannello chiedendo l’indirizzo del server. Fare clic sul pulsante Open Directory Utility.
Di nuovo, fai clic sull’icona del lucchetto e inserisci la password quando richiesto. Successivamente, vai su Modifica> Abilita utente root.
Inserisci una password per l’utente root e avrai il controllo completo su di essa.
Una volta abilitato l’utente root e impostato una password, diventi immune al bug di accesso di macOS High Sierra Root. La correzione è semplice come l’exploit, ma Apple deve correggerla al più presto. Questo bug può essere sfruttato da chiunque abbia accesso al tuo sistema sbloccato o da qualcuno che ha effettuato l’accesso in remoto.