1. 程式人生 > >Apple MDM工具被曝存在身份認證漏洞

Apple MDM工具被曝存在身份認證漏洞

原文地址:https://www.hackeye.net/securityevent/16561.aspx

使用蘋果設備註冊(DEP)進行移動裝置管理(MDM)註冊的企業,在不新增二級認證的情況下,正面臨資訊過濾和攻擊的風險。

MDM是一種幫助企業實施管理的常見技術,由多個供應商提供,可在一個平臺中處理員工的各種移動裝置使用情況,並實施安全策略,標準化更新,控制費用管理等。隨著辦公裝置的多元化,分佈的不同位置的員工使用手機、平板、電腦訪問公司資料時可能存在各種風險,採用這種技術可以幫助企業控制已知/潛在風險。

DEP是一項簡化iOS,macOS和tvOS裝置的MDM註冊的蘋果服務,與要求終端使用者或管理配置裝置並手動註冊裝置的傳統部署方法不同,DEP允許管理員自動執行該過程。

然而,最近Duo Labs的研究發現DEP只需要序列號就可以將設備註冊到組織的MDM伺服器中,這意味著攻擊者可以將惡意設備註冊到系統中。然後,該裝置將作為特權端點,允許攻擊者提取有關組織的重要資訊。

“如果序列號是使用DEP註冊的(不同於在MDM中註冊的),並且MDM伺服器在註冊期間不需要額外的使用者身份驗證,攻擊者可以將他們選擇的設備註冊到組織的MDM伺服器中騙得一個合法的DEP註冊序列號。“Duo的高階研發工程師James Barclay在接受採訪時解釋道。

一旦設備註冊成功,它將成為攻擊方的“可信”裝置,多數情況訪問敏感資訊(如裝置和使用者證書,VPN配置資料,註冊代理,配置配置檔案和各種其他內部資料和組織機密)可暢通無阻,

值得關注的是,攻擊者要想成功需要克服一個不小的障礙——他們必須在真正的DEP序列號擁有者開始之前啟動DEP註冊,因為DEP僅接受裝置序列號一次,所以騙取DEP序列號後要儘快註冊才有可能實現攻擊。不過在Duo看來,裝置序列號獲取途徑多,難度小,通過社交工程,暴力破解,網路資源都可以獲取。

然而,哪怕序列號已經被合法擁有者註冊,攻擊者仍然可以進行攻擊。DEP序列號註冊時,需要將裝置驗證給DEP API,然後API再檢索啟用記錄。在這個過程中問題就出現了——啟用的記錄中包含組織資訊。攻擊者可能會使用DEP API檢索啟用記錄(或DEP配置檔案)和相關資訊涉及的部門組織,利用檢索到的資訊進行社會工程攻擊,如呼叫服務檯提供序列號要求幫助,最終在MDM伺服器中進行非法註冊。

目前,DEP服務只通過提交DEP註冊序列號來提供對攻擊者有用的資訊,而不需要任何使用者級認證。它還通過使用以前獲得的或生成的序列號簡化了未經身份驗證的MDM伺服器的列舉,這可能導致攻擊者能夠訪問受保護的或內部資源。

Barclay表示,從普遍的意義上看,攻擊給人感覺就像是未能正確使用序列號進行身份驗證。序列號僅用於唯一標識特定裝置,它們不是絕對隱祕或不可預測的,因此不應該用於驗證裝置的身份。不幸的是,序列號被非法使用並非偶然現象。

蘋果公司方面不認為這是一個漏洞,因為他們明文建議了企業在初始配置時應用使用者身份驗證或限制訪問,但Barclay認為DEP服務目前的工作方式充當了攻擊的催化劑,因為它降低了對未以安全優先方式配置的其他元件成功攻擊的障礙。