Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/08/2011
Bug en Mac VOS X Lion permet autenticar-se per OpenLDAP amb qualsevol contrasenya
Basta amb conéixer el nom d'usuari de la víctima, per a autenticar-se amb el seu usuari en els sistemes afectats.
En entorns corporatius, l'ús de sistemes centralitzats de xarxa, per a l'autenticació d'usuaris, és una pràctica molt comuna, alhora que recomanada i necessària per a controlar la seguretat de l'organització, i l'ús d'arbres LDAP (Ligthweight Directory Access Protocol) és d'allò més estés.
Així, els equips Mac OS X permeten configurar l'accés al sistema fent ús d'un arbre LDAP. D'entre els arbres LDAP, un dels més famosos és OpenLDAP, un projecte Open Source que s'utilitza en moltes organitzacions per a gestionar el control d'accés a la xarxa per mitjà de comptes d'usuari centralitzats, i amb el que pot treballar qualsevol equipament amb Mac OS X Lion.
No obstant això, com reporten diversos usuaris, amb Mac OS X Lion, emprant OpenLDAP, basta amb conéixer el nom d'usuari, ja que permet autenticar-se amb qualsevol contrasenya, la qual cosa pot convertir-se en un malson per als administradors de la seguretat de la xarxa de moltes empreses.
Aquests noms d'usuari generalment són prou senzills de conéixer, ja que o bé recol·lectant les adreces de correu dels membres de l'empresa –que generalment coincideixen amb els noms dels usuaris– amb eines com The Harvester, que busquen les adreces de correu d'una organització indexades en Google o emprant un e-mail crawler que faça spidering en la web de l'empresa, o bé usant simplement les metadades dels documents ofimàtics amb eines com a FOCA o Metagoogil, és possible obtindre bones llistes de possibles usuaris d'una empresa.
Segons reporta The H Online, Apple ha sigut capaç de reproduir la fallada, i no està clar quan en traurà una solució, especialment quan ha publicat fa tan poc de temps l'actualització a Mac OS X Lion 10.7.1. De moment l'únic remei possible és desactivar l'autenticació amb OpenLDAP, per a usuaris amb Mac OS X Lion dins de l'empresa, en entorns crítics, i esperar que Apple servesca un Security Update, fora del seu cicle d'actualitzacions, per tal de solucionar aquest problema.