Enrolling Devices in Other Organisations
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Soos voorheen kommentaar, om 'n toestel in 'n organisasie te probeer registreer, is slegs 'n Serienommer wat aan daardie Organisasie behoort, nodig. Sodra die toestel geregistreer is, sal verskeie organisasies sensitiewe data op die nuwe toestel installeer: sertifikate, toepassings, WiFi wagwoorde, VPN konfigurasies en so aan. Daarom kan dit 'n gevaarlike toegangspunt vir aanvallers wees as die registrasieproses nie korrek beskerm word nie.
Die volgende is 'n opsomming van die navorsing https://duo.com/labs/research/mdm-me-maybe. Kyk daarna vir verdere tegniese besonderhede!
Hierdie navorsing delf in die binêre wat geassosieer word met die Toestel Registrasie Program (DEP) en Mobiele Toestel Bestuur (MDM) op macOS. Sleutelkomponente sluit in:
mdmclient
: Kommunikeer met MDM bedieners en aktiveer DEP registrasies op macOS weergawes voor 10.13.4.
profiles
: Bestuur Konfigurasie Profiele, en aktiveer DEP registrasies op macOS weergawes 10.13.4 en later.
cloudconfigurationd
: Bestuur DEP API kommunikasies en haal Toestel Registrasie profiele op.
DEP registrasies gebruik die CPFetchActivationRecord
en CPGetActivationRecord
funksies van die private Konfigurasie Profiele raamwerk om die Aktivering Rekord op te haal, met CPFetchActivationRecord
wat saamwerk met cloudconfigurationd
deur XPC.
Die DEP registrasie behels cloudconfigurationd
wat 'n geënkripteerde, ondertekende JSON payload na iprofiles.apple.com/macProfile stuur. Die payload sluit die toestel se serienommer en die aksie "RequestProfileConfiguration" in. Die enkripsieskema wat gebruik word, word intern as "Absinthe" verwys. Om hierdie skema te ontrafel is kompleks en behels verskeie stappe, wat gelei het tot die verkenning van alternatiewe metodes om arbitrêre serienommers in die Aktivering Rekord versoek in te voeg.
Pogings om DEP versoeke na iprofiles.apple.com te onderskep en te wysig met behulp van gereedskap soos Charles Proxy is belemmer deur payload enkripsie en SSL/TLS sekuriteitsmaatreëls. Dit is egter moontlik om die MCCloudConfigAcceptAnyHTTPSCertificate
konfigurasie in te skakel, wat die bediener sertifikaat validasie omseil, alhoewel die geënkripteerde aard van die payload steeds die wysiging van die serienommer sonder die dekripsiesleutel verhinder.
Om stelselbinaries soos cloudconfigurationd
te instrumenteer, vereis dit dat Stelsel Integriteit Beskerming (SIP) op macOS gedeaktiveer word. Met SIP gedeaktiveer, kan gereedskap soos LLDB gebruik word om aan stelselsprosesse te koppel en moontlik die serienommer wat in DEP API interaksies gebruik word, te wysig. Hierdie metode is verkieslik aangesien dit die kompleksiteite van regte en kode ondertekening vermy.
Exploiting Binary Instrumentation: Die wysiging van die DEP versoek payload voor JSON serialisering in cloudconfigurationd
het effektief geblyk. Die proses het behels:
Koppel LLDB aan cloudconfigurationd
.
Vind die punt waar die stelselserienommer opgevraag word.
Spuit 'n arbitrêre serienommer in die geheue in voordat die payload geënkripteer en gestuur word.
Hierdie metode het toegelaat om volledige DEP profiele vir arbitrêre serienommers te verkry, wat 'n potensiële kwesbaarheid demonstreer.
Die uitbuiting proses is geoutomatiseer met behulp van Python met die LLDB API, wat dit haalbaar maak om programmaties arbitrêre serienommers in te spuit en ooreenstemmende DEP profiele op te haal.
Die navorsing het beduidende sekuriteitskwessies beklemtoon:
Inligting Ontsluiting: Deur 'n DEP-geregistreerde serienommer te verskaf, kan sensitiewe organisatoriese inligting wat in die DEP profiel bevat is, opgehaal word.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)