В MDM-сервисе Apple снова найдена уязвимость

Серьезную брешь обнаружили исследователи из Duo Security в программном интерфейсе Device Enrollment Program​ (DEP) — специализированного сервиса Apple для регистрации оборудования этого производителя на корпоративном MDM-сервере. Уязвимость позволяет злоумышленникам подключить свое устройство к ресурсам технической поддержки организации, а через них скомпрометировать всю сеть предприятия. Кроме того, киберпреступники способны выяснить адреса электронной почты и телефоны компании, чтобы использовать их в последующих атаках.

Технология MDM позволяет организации быстро устанавливать необходимое программное обеспечение на новые устройства, а также загружать обновления или изменять конфигурацию оборудования, подключенного к корпоративной сети. Для этого каждый компьютер или мобильный телефон регистрируется на специализированном сервере через DEP. Как выяснили эксперты, API этой службы имеет ряд недокументированных возможностей, которыми могут воспользоваться злоумышленники.

Специалисты утверждают, что при регистрации на MDM-сервере ключевым идентификатором является серийный номер устройства. Протокол допускает предварительную аутентификацию пользователя, но не требует ее, чтобы включить новое оборудование в пул поддержки. Таким образом, выяснив уникальный номер компьютера или мобильного телефона, который нередко можно найти в Интернете, злоумышленники способны присоединиться к корпоративному сервису обновлений. Это может стать отправной точкой для атаки на внутренние ресурсы компании.

Кроме того, нападающие с некоторой вероятностью получат доступ к номерам телефонов и адресам электронной почты сотрудников организации: эти данные иногда включаются в DEP-профиль. В дальнейшем злоумышленники могут использовать их в атаках на компанию с применением методов социальной инженерии.

Эксперты Duo Security еще в мае этого года сообщили Apple об обнаруженном недостатке, однако вендор все еще его не исправил. Исследователи подготовили ряд рекомендаций по снижению риска эксплуатации бага. В частности, специалисты предлагают компаниям включить аутентификацию пользователя перед процедурой проверки серийного номера нового устройства.

В июле 2018 года Apple уже патчила алгоритмы работы DEP в macOS. Как выяснили ИБ-специалисты, процедура конфигурирования нового компьютера оказалась уязвимой для атак типа «человек посередине». При помощи манипуляций с адресом XML-манифеста, который определяет список устанавливаемых на устройство программ, злоумышленники могли внедрить в целевую систему вредоносное ПО. Производитель закрыл брешь с очередным апдейтом ОС.

Источник: https://threatpost.ru/vulnerability-found-in-apple-mdm-service-again/28454/