Enrolling Devices in Other Organisations
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Soos voorheen kommentaar, om 'n toestel in 'n organisasie te probeer registreer, is slegs 'n Serienommer wat aan daardie Organisasie behoort, nodig. Sodra die toestel geregistreer is, sal verskeie organisasies sensitiewe data op die nuwe toestel installeer: sertifikate, toepassings, WiFi wagwoorde, VPN konfigurasies en so aan. Daarom kan dit 'n gevaarlike toegangspunt vir aanvallers wees as die registrasieproses nie korrek beskerm word nie.
Die volgende is 'n opsomming van die navorsing https://duo.com/labs/research/mdm-me-maybe. Kyk daarna vir verdere tegniese besonderhede!
Hierdie navorsing delf in die binaire wat geassosieer word met die Toestel Registrasie Program (DEP) en Mobiele Toestel Bestuur (MDM) op macOS. Sleutelkomponente sluit in:
mdmclient: Kommunikeer met MDM bedieners en aktiveer DEP aanmeldings op macOS weergawes voor 10.13.4.
profiles: Bestuur Konfigurasie Profiele, en aktiveer DEP aanmeldings op macOS weergawes 10.13.4 en later.
cloudconfigurationd: Bestuur DEP API kommunikasies en haal Toestel Registrasie profiele op.
DEP aanmeldings gebruik die CPFetchActivationRecord en CPGetActivationRecord funksies van die private Konfigurasie Profiele raamwerk om die Aktivering Rekord op te haal, met CPFetchActivationRecord wat saamwerk met cloudconfigurationd deur XPC.
Die DEP aanmelding behels cloudconfigurationd wat 'n geënkripteerde, geskrewe JSON payload na iprofiles.apple.com/macProfile stuur. Die payload sluit die toestel se serienommer en die aksie "RequestProfileConfiguration" in. Die enkripsieskema wat gebruik word, word intern as "Absinthe" verwys. Om hierdie skema te ontrafel is kompleks en behels verskeie stappe, wat gelei het tot die verkenning van alternatiewe metodes om arbitrêre serienommers in die Aktivering Rekord versoek in te voeg.
Pogings om DEP versoeke na iprofiles.apple.com te onderskep en te wysig met behulp van gereedskap soos Charles Proxy is belemmer deur payload enkripsie en SSL/TLS sekuriteitsmaatreëls. Dit is egter moontlik om die MCCloudConfigAcceptAnyHTTPSCertificate konfigurasie in te skakel, wat die bediener sertifikaat validasie omseil, alhoewel die geënkripteerde aard van die payload steeds die wysiging van die serienommer sonder die dekripsiesleutel verhinder.
Instrumentering van stelsels binaries soos cloudconfigurationd vereis die deaktivering van Stelsel Integriteit Beskerming (SIP) op macOS. Met SIP gedeaktiveer, kan gereedskap soos LLDB gebruik word om aan stelsels prosesse te koppel en moontlik die serienommer wat in DEP API interaksies gebruik word, te wysig. Hierdie metode is verkieslik aangesien dit die kompleksiteite van regte en kode ondertekening vermy.
Eksploitering van Binaire Instrumentasie: Die wysiging van die DEP versoek payload voor JSON serialisering in cloudconfigurationd het effektief geblyk. Die proses het behels:
Koppel LLDB aan cloudconfigurationd.
Vind die punt waar die stelsels serienommer opgevraag word.
Spuit 'n arbitrêre serienommer in die geheue in voordat die payload geënkripteer en gestuur word.
Hierdie metode het toegelaat om volledige DEP profiele vir arbitrêre serienommers te verkry, wat 'n potensiële kwesbaarheid demonstreer.
Die eksploitasiestap is geoutomatiseer met behulp van Python met die LLDB API, wat dit haalbaar maak om programmaties arbitrêre serienommers in te spuit en ooreenstemmende DEP profiele op te haal.
Die navorsing het beduidende sekuriteitskwessies beklemtoon:
Inligting Ontsluiting: Deur 'n DEP-geregistreerde serienommer te verskaf, kan sensitiewe organisatoriese inligting wat in die DEP profiel bevat is, verkry word.
