Эксперты по безопасности выяснили, что ноутбуки на базе
macOS в корпоративных сетях можно взламывать с помощью системы управления
мобильными устройствами (MDM).
Два эксперта по безопасности — Джесс Эндал из компании
Fleetsmith и Макс Беланже сотрудник Dropbox, продемонстрировали на конференции
Black Hat, как можно скомпрометировать новые ноутбуки Apple MacBook в
корпоративных средах при первой их загрузке и первом подключении к локальной сети,
сообщает CNews со ссылкой на материалы конференции.
Эксперты использовали MDM-протокол Apple с целью извлечения
манифеста и подмены запрошенного жертвой приложения на вредоносное.MDM
позволяет корпоративным администраторам удаленно управлять устройствами на базе
macOS и iOS, в том числе устанавливать и удалять приложения, блокировать
устройства или осуществлять сброс их установок до заводских. Каждый раз, когда к корпоративной сети добавляется новое
устройство, оно получает «профиль настроек». Эта операция производится
автоматически с помощью программы Device Enrollment Program (DEP).
Компьютеры на базе macOS автоматически подключаются к
MDM-серверу при первой загрузке или после сброса настроек. Профиль DEP, который
пересылается на устройство, формируется на MDM-сервере автоматически и включает
информацию, относящуюся к установке ПО (URL-адрес сервера, сертификаты и т.
д.).
Используя команду InstallApplication, администраторы могут
устанавливать специализированные приложения. Эта команда использует
URL-манифест, в ответ на который поступает XML-файл, содержащий всю информацию,
необходимую для установки приложения.
Эксперты продемонстрировали, что с помощью MitM-атаки этим
манифестом можно манипулировать и, соответственно, подменять устанавливаемые
приложения. Произвести такую атаку непросто, отмечают эксперты, однако вполне
реально — по крайней мере, для высокопрофессиональных злоумышленников, в том
числе, работающих на спецслужбы.
Компания Apple получила эту информацию и подтвердила
справедливость выводов Эндала и Беланже. В обновлении macOS 10.13.6 этот «баг»
был исправлен: MDM-система Apple теперь снабжена командой
InstallEnterpriseApplication, которая позволяет поставщикам MDM-решений
предоставлять специальные сертификаты для привязки запроса к ManifestURL. Тем
самым возможность подмены приложений снимается.
