| 27 сентября 2018 г. — 4:18 PT
Обнаруженная уязвимость безопасности в программе Apple Device Enrollment Program (DEP) может позволить злоумышленнику получить полный доступ к корпоративной или школьной сети.
DEP — это бесплатная услуга, предлагаемая Apple для автоматической настройки новых устройств, начиная от пользовательских приложений и заканчивая настройками VPN. Все, что для этого требуется, — это серийный номер устройства, и именно в этом заключается корень проблемы, говорит исследователь безопасности, обнаруживший ее…
Предыстория
Немного предыстории для тех, кто не знаком с тем, как организации настраивают новые устройства Apple…
Многие компании, школы и другие организации, которые закупают оборудование Apple оптом, используют сервер управления мобильными устройствами (MDM). Это позволяет им полностью настраивать новое устройство со всеми необходимыми приложениями и настройками в рамках организации.
Программа Apple Device Enrollment Program (DEP) — это способ предоставления новым устройствам доступа к MDM без каких-либо усилий. Она просто запрашивает серийный номер, и при условии, что номер является действительным для устройства, поставленного Apple или авторизованным реселлером, доступ будет предоставлен.
Уязвимость
Сервер MDM может быть настроен на требование имени пользователя и пароля, но некоторые организации этого не делают, поскольку считают проверку серийного номера достаточной.
Проблема, по словам Duo Research, двояка. Во-первых, получить серийный номер устройства, принадлежащего сотруднику или студенту, не обязательно очень сложно. Старая добрая социальная инженерия — например, предполагаемый звонок из IT-отдела с просьбой предоставить серийный номер для целей аудита. Затем это позволило бы злоумышленнику запросить API DEP для получения информации об организации, которая может быть использована для других видов атак. И поскольку API DEP не имеет ограничений на количество запросов, для угадывания серийных номеров могут быть использованы даже атаки методом перебора.
Во-вторых, и это более серьезно, может быть сгенерирован действительный серийный номер, который затем позволит им зарегистрировать свое собственное устройство на сервере MDM.
Серийные номера предсказуемы и строятся по хорошо известной схеме. Это означает, что злоумышленнику не нужно находить серийные номера, которые были случайно утечки; вместо этого он может генерировать действительные серийные номера и использовать API DEP для проверки их регистрации в DEP […]
В конфигурациях, где связанный сервер MDM не требует дополнительной аутентификации, злоумышленник потенциально может зарегистрировать произвольное устройство на сервере MDM организации. Возможность регистрации выбранного устройства на сервере MDM организации может иметь серьезные последствия, позволяя впоследствии получить доступ к частным ресурсам организации или даже полный VPN-доступ к внутренним системам.
Ответ Apple
Стандартная практика при обнаружении уязвимостей безопасности — уведомить ответственную компанию и дать ей 90 дней на исправление до публичного раскрытия деталей. Часто предоставляется дополнительное время, если компания его запрашивает.
Duo уведомил Apple в мае этого года и опубликовал свои выводы только сегодня. Однако компания заявляет, что Apple решила не исправлять проблему, вместо этого просто посоветовав организациям включить опцию аутентификации в MDM.
Вы можете прочитать полную статью здесь.
Недавно сообщалось о неувязанной уязвимости в том, как macOS обрабатывает регистрацию MDM. Это могло позволить злоумышленнику установить неограниченное количество вредоносного ПО на компьютер еще до того, как его владелец увидит рабочий стол впервые.
Фото: ITProPortal
Посетите 9to5Mac на YouTube для получения большего количества новостей об Apple: