看專家解釋攻擊者如何通過蘋果移動裝置管理協議(MDM)攻擊企業中的Mac
*嚴正宣告:本文僅限於技術討論,嚴禁用於其他用途。
近期,來自Fleetsmith公司(一家macOS管理公司)的CPO兼CSO-Jesse Endahl向外界演示了技術高超的攻擊者如何通過DMD來入侵企業環境中的蘋果Mac電腦。根據研究人員透露的資訊,在這項技術的幫助下,攻擊者將能夠在新款Mac裝置啟動的時候入侵目標裝置。
研究人員表示,他們能夠利用蘋果移動裝置管理協議(MDM)來獲取目標主機的manifest檔案資訊,並在目標裝置上安裝各種惡意應用。
MDM允許企業環境中的網路管理員遠端訪問企業網路中的macOS和iOS裝置,在該協議的幫助下,管理員可以輕鬆安裝或刪除裝置中的應用程式,他們甚至還可以鎖定裝置或清除裝置中的資料。當企業環境中添加了新的裝置時,MDM伺服器會收到一份配置檔案,裝置會自動使用DEP設備註冊程式來完成新增操作。此時,macOS裝置在啟動時或完成重置(恢復出廠設定)後,會自動跟MDM伺服器建立通訊連線。接下來,MDM伺服器會將其建立的DEP配置檔案傳送給請求裝置,其中包含了跟軟體安裝相關的資訊,例如伺服器的URL地址和繫結的證書等等。
通過使用MDM命令“InstallApplication”,管理員可以在目標裝置上安裝特定的應用程式。這條命令需要使用一個manifest URL,並返回一個XM檔案,而這個XML檔案中會包含安裝應用程式時所需的全部資訊。
專家解釋稱,攻擊者將有可能修改這個manifest配置檔案,並通過執行中間人攻擊(MitM)來在目標裝置上安裝惡意軟體。這項攻擊技術需要在macOS電腦連線MDM伺服器時進行,無論怎樣,雖然理論上可行,但攻擊的實現難度並不低,研究人員認為目前只有國家級黑客組織或ISP服務商能夠執行這種型別的攻擊。
目前,研究人員已經將有關該攻擊技術的詳細資訊上報給了蘋果公司。研究人員在其發表的 ofollow,noindex" target="_blank">研究報告 中寫到:“我們在發現了該漏洞之後,便立刻將其上報給了蘋果公司,根據蘋果公司的回覆,他們已經修復了該漏洞,並實現了一種新的MDM命令形式:InstallEnterpriseApplication。該命令( macOS10.13.6 可使用)允許MDM提供商提供指定的證書來與請求的Manifest URL進行繫結(這裡使用了新的ManifestURLPinningCerts屬性),但是具體的實現方式還需要MDM服務商自行決定。”
* 參考來源: securityaffairs ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM