看专家解释攻击者如何通过苹果移动设备管理协议(MDM)攻击企业中的Mac
source link: http://www.freebuf.com/articles/system/184319.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
*严正声明:本文仅限于技术讨论,严禁用于其他用途。
近期,来自Fleetsmith公司(一家macOS管理公司)的CPO兼CSO-Jesse Endahl向外界演示了技术高超的攻击者如何通过DMD来入侵企业环境中的苹果Mac电脑。根据研究人员透露的信息,在这项技术的帮助下,攻击者将能够在新款Mac设备启动的时候入侵目标设备。
研究人员表示,他们能够利用苹果移动设备管理协议(MDM)来获取目标主机的manifest文件信息,并在目标设备上安装各种恶意应用。
MDM允许企业环境中的网络管理员远程访问企业网络中的macOS和iOS设备,在该协议的帮助下,管理员可以轻松安装或删除设备中的应用程序,他们甚至还可以锁定设备或清除设备中的数据。当企业环境中添加了新的设备时,MDM服务器会收到一份配置文件,设备会自动使用DEP设备注册程序来完成添加操作。此时,macOS设备在启动时或完成重置(恢复出厂设置)后,会自动跟MDM服务器建立通信连接。接下来,MDM服务器会将其创建的DEP配置文件发送给请求设备,其中包含了跟软件安装相关的信息,例如服务器的URL地址和绑定的证书等等。
通过使用MDM命令“InstallApplication”,管理员可以在目标设备上安装特定的应用程序。这条命令需要使用一个manifest URL,并返回一个XM文件,而这个XML文件中会包含安装应用程序时所需的全部信息。
专家解释称,攻击者将有可能修改这个manifest配置文件,并通过执行中间人攻击(MitM)来在目标设备上安装恶意软件。这项攻击技术需要在macOS电脑连接MDM服务器时进行,无论怎样,虽然理论上可行,但攻击的实现难度并不低,研究人员认为目前只有国家级黑客组织或ISP服务商能够执行这种类型的攻击。
目前,研究人员已经将有关该攻击技术的详细信息上报给了苹果公司。研究人员在其发表的 研究报告 中写到:“我们在发现了该漏洞之后,便立刻将其上报给了苹果公司,根据苹果公司的回复,他们已经修复了该漏洞,并实现了一种新的MDM命令形式:InstallEnterpriseApplication。该命令( macOS10.13.6 可使用)允许MDM提供商提供指定的证书来与请求的Manifest URL进行绑定(这里使用了新的ManifestURLPinningCerts属性),但是具体的实现方式还需要MDM服务商自行决定。”
* 参考来源: securityaffairs ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK