Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1169

[Mac OS X/DHCP] Unsichere Standardkonfiguration bei der Authentifizierung
(2003-11-28 23:22:01.385692+00) Druckversion

Quelle: http://www.carrel.org/dhcp-vuln.html

Bei der Anmeldung in ein DHCP-Netzwerk ist es möglich, Mac OS X neben den üblichen Parametern auch die IP-Adresse des LDAP- oder Netinfoservers zu übergeben. Diese Adresse nutzt Mac OS X dann zum verifizieren von Benutzerpasswörtern. In der Standardkonfiguration ist keine weitere Authentifizierung des LDAP- bzw. Netinfoservers gegenüber dem Klienten unter Mac OS X nötig.

Betroffene Systeme

  • Mac OS X 10.3
  • Mac OS X 10.3 Server
  • Mac OS X 10.2.x
  • Mac OS X 10.2.x Server
  • evtl. frühere Versionen

Einfallstor
Netzanmeldung über DHCP

Auswirkung
Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
(remote root compromise)

Angriffsvoraussetzung
Zugriff auf eine DHCP-versorgte Broadcast-Domain

Typ der Verwundbarkeit
insecure defaults

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
DHCP (Dynamic Host Configuration Protocol) ist ein weitverbreitetes Protokoll zum dynamischen Austausch von Konfigurationsdaten, wie z. B. der Vergabe von IP-Adressen in Lokalen Fest- und Funknetzen.

Beschreibung
Innerhalb einer über DHCP versorgten Broadcast-Domain kann einem Mac-OS-X-System neben den Standardkonfigurationsdaten auch die IP-Adresse des LDAP- oder Netinfoservers übergeben werden, gegen den die Systembenutzerpasswörter verifiziert werden sollen.

Diesen Umstand kann ein Angreifer mit Zugriff zu der mit DHCP versorgten Broadcast Domain dazu ausnutzen, einem Mac-OS-X-System einen falschen DHCP-Server und in Folge eine falsche IP-Adresse eines LDAP- oder Netinfoservers unterzuschieben, wenn dieses Konfigurationsdaten via DHCP anfordert.

Stellt der Angreifer unter der untergeschobenen IP-Adresse einen eigenen LDAP-Dienst bereit, so ist er in der Lage, beliebige Passwortüberprüfungsanfragen des angegriffenen Mac-OS-X-Systems zu bestätigen, auch Passwörter für administrative Konten, wie root.

Insbesondere in Funknetzwerken erhält ein Angreifer oft einfach Zugriff auf größere Broadcast-Domains, daher ist es besonders für Nutzer solcher Netze essentiell, die Systemkonfiguration im Auge zu haben.

Allgemeiner Hinweis
Generell sollte sich nicht nur der Client-Rechner gegenüber dem Server authentifizieren, sondern auch der Server gegenüber dem Client. Diese Möglichkeit bietet Mac OS X bisher nicht.

Gegenmaßnahmen
Starten Sie das Programm "Verzeichnisdienste"

  • Wenn man den LDAP-Dienst oder Netinfo-Dienst nicht benötigt, kann man diese Dienste an dieser Stelle deaktivieren.
  • Andernfalls sind folgende Schritte erforderlich:
    1. Im Programm "Verzeichnisdienste" wählt man den Dienst "LDAPv3" aus.
    2. Unter "Option" deaktiviert man "Den vom DHCP-Server gelieferten LDAP-Server verwenden".
      Ggf. kann hier eine IP-Adresse manuell fest eingetragen werden.
    3. Dieser Schritt muß für weitere Umgebungen wiederholt werden.

Vulnerability ID

  • Es ist noch keine ID vergeben.

Weitere Information zu diesem Thema

(sp)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.