« Resterampe: .mac (alias MobileMe) für 49 Euro [Update: Ausgelaufen] | Start | Screencast von Mac OS X 10.6 Snow Leopard (Video) [Update] »

20.06.2008

ARDAgent-Schwachstelle: Root im Handumdrehen [Update: Trojaner]

Die Applikation ARDAgent, Komponente von Remote Management für Apple Remote Desktop, zu finden unter /System/Library/CoreServices/RemoteManagement, ist SUID root und verfügt zudem über den AppleScript-Befehl "do shell script" - womit sich praktisch beliebiger Code unlimitiert als Superuser ausführen lässt und das ohne jegliche Passwort-Nachfrage.
Um dies in Gang zu setzen, müsste ein potentieller Angreifer entweder vor dem jeweiligen Mac sitzen, oder zumindest als (entfernter) Nutzer eingeloggt sein - doch eine entsprechend vorbereitete Applikation, die ein unbedarfter Anwender nach dem Herunterladen bereitwillig öffnet, könnte sich über diese Schwachstelle ebenfalls unbeschränkt im System austoben. Das Problem betrifft Mac OS X 10.4 und 10.5.
Auch hier gilt weiterhin der Grundsatz, sich vor Applikationen (und überhaupt jeglichen Dateien) aus unbekannter Quelle weitestmöglich fernzuhalten (und das nicht nur bis Apple diese spezifische Lücke schließen wird). Weitere Lektüre zum Thema (inklusive Tipps zur Neutralisierung von ARDAgent) bei Slashdot (dort wurde die Geschichte ursprünglich veröffentlicht) und Matasano Chargen.
Update 8:15 Uhr: SecureMac warnt vor dem Trojaner "AppleScript.THT", der sich genau dieser Schwachstelle bedient und unter anderem versucht, das System nach außen zu öffnen, Passwörter zu erspähen, die Firewall zu deaktivieren, Little Snitch zu überlisten, etc.
Die Vorlage für einen derartigen AppleScript-Trojaner steht in mindestens einem Forum als AppleScript ASthtv05 (60 KB) oder als Applikation AStht_v06 (3.1 MB) zum Download bereit und könnte bereits versuchsweise weiterverbreitet werden. Erhöhte Vorsicht vor Dateien mit zweifelhafter Herkunft ist entsprechend angeraten.

Posted by Leo at 00:21 | Permalink

TrackBack

TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e200e553616cf68833

Listed below are links to weblogs that reference ARDAgent-Schwachstelle: Root im Handumdrehen [Update: Trojaner]: