看專家解釋攻擊者如何通過蘋果移動裝置管理協議（MDM）攻擊企業中的Mac

*嚴正宣告：本文僅限於技術討論，嚴禁用於其他用途。

近期，來自Fleetsmith公司（一家macOS管理公司）的CPO兼CSO-Jesse Endahl向外界演示了技術高超的攻擊者如何通過DMD來入侵企業環境中的蘋果Mac電腦。根據研究人員透露的資訊，在這項技術的幫助下，攻擊者將能夠在新款Mac裝置啟動的時候入侵目標裝置。

研究人員表示，他們能夠利用蘋果移動裝置管理協議（MDM）來獲取目標主機的manifest檔案資訊，並在目標裝置上安裝各種惡意應用。

MDM允許企業環境中的網路管理員遠端訪問企業網路中的macOS和iOS裝置，在該協議的幫助下，管理員可以輕鬆安裝或刪除裝置中的應用程式，他們甚至還可以鎖定裝置或清除裝置中的資料。當企業環境中添加了新的裝置時，MDM伺服器會收到一份配置檔案，裝置會自動使用DEP設備註冊程式來完成新增操作。此時，macOS裝置在啟動時或完成重置（恢復出廠設定）後，會自動跟MDM伺服器建立通訊連線。接下來，MDM伺服器會將其建立的DEP配置檔案傳送給請求裝置，其中包含了跟軟體安裝相關的資訊，例如伺服器的URL地址和繫結的證書等等。

通過使用MDM命令“InstallApplication”，管理員可以在目標裝置上安裝特定的應用程式。這條命令需要使用一個manifest URL，並返回一個XM檔案，而這個XML檔案中會包含安裝應用程式時所需的全部資訊。

專家解釋稱，攻擊者將有可能修改這個manifest配置檔案，並通過執行中間人攻擊（MitM）來在目標裝置上安裝惡意軟體。這項攻擊技術需要在macOS電腦連線MDM伺服器時進行，無論怎樣，雖然理論上可行，但攻擊的實現難度並不低，研究人員認為目前只有國家級黑客組織或ISP服務商能夠執行這種型別的攻擊。

目前，研究人員已經將有關該攻擊技術的詳細資訊上報給了蘋果公司。研究人員在其發表的 ofollow,noindex" target="_blank">研究報告 中寫到：“我們在發現了該漏洞之後，便立刻將其上報給了蘋果公司，根據蘋果公司的回覆，他們已經修復了該漏洞，並實現了一種新的MDM命令形式：InstallEnterpriseApplication。該命令（ macOS10.13.6 可使用）允許MDM提供商提供指定的證書來與請求的Manifest URL進行繫結（這裡使用了新的ManifestURLPinningCerts屬性），但是具體的實現方式還需要MDM服務商自行決定。”

* 參考來源： securityaffairs ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM