macOS MDM
Last updated
Last updated
Lernen Sie und üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie und üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Um mehr über macOS MDMs zu erfahren, überprüfen Sie:
Mobile Device Management (MDM) wird zur Verwaltung verschiedener Endbenutzergeräte wie Smartphones, Laptops und Tablets eingesetzt. Insbesondere für Apples Plattformen (iOS, macOS, tvOS) umfasst es eine Reihe spezialisierter Funktionen, APIs und Praktiken. Der Betrieb von MDM hängt von einem kompatiblen MDM-Server ab, der entweder kommerziell verfügbar oder Open Source ist und das MDM-Protokoll unterstützen muss. Zu den wichtigsten Punkten gehören:
Zentrale Kontrolle über Geräte.
Abhängigkeit von einem MDM-Server, der dem MDM-Protokoll entspricht.
Fähigkeit des MDM-Servers, verschiedene Befehle an Geräte zu senden, z. B. Fernlöschung von Daten oder Konfigurationsinstallation.
Das von Apple angebotene Device Enrollment Program (DEP) vereinfacht die Integration des Mobile Device Management (MDM), indem es eine Konfiguration ohne Berührung für iOS-, macOS- und tvOS-Geräte ermöglicht. DEP automatisiert den Anmeldevorgang, sodass Geräte direkt einsatzbereit sind, mit minimalem Benutzer- oder Administratoreingriff. Wesentliche Aspekte sind:
Ermöglicht es Geräten, sich bei der erstmaligen Aktivierung automatisch bei einem vordefinierten MDM-Server zu registrieren.
Hauptsächlich für brandneue Geräte vorteilhaft, aber auch für Geräte, die neu konfiguriert werden.
Ermöglicht eine einfache Einrichtung, sodass Geräte schnell für den organisatorischen Einsatz bereit sind.
Es ist wichtig zu beachten, dass die vereinfachte Anmeldung durch DEP, obwohl vorteilhaft, auch Sicherheitsrisiken bergen kann. Wenn für die MDM-Anmeldung keine ausreichenden Schutzmaßnahmen durchgesetzt werden, könnten Angreifer diesen vereinfachten Prozess ausnutzen, um ihr Gerät auf dem MDM-Server der Organisation zu registrieren und sich als Unternehmensgerät auszugeben.
Sicherheitswarnung: Die vereinfachte DEP-Anmeldung könnte es unbefugten Geräten ermöglichen, sich auf dem MDM-Server der Organisation zu registrieren, wenn angemessene Sicherheitsvorkehrungen nicht getroffen werden.
Ein relativ altes Protokoll, erstellt bevor TLS und HTTPS weit verbreitet waren.
Bietet Clients eine standardisierte Möglichkeit, eine Certificate Signing Request (CSR) zu senden, um ein Zertifikat zu erhalten. Der Client wird den Server bitten, ihm ein signiertes Zertifikat zu geben.
Apples offizielle Methode zum Festlegen/Durchsetzen von Systemkonfigurationen.
Dateiformat, das mehrere Nutzlasten enthalten kann.
Basierend auf Property Lists (der XML-Art).
"können signiert und verschlüsselt werden, um ihre Herkunft zu validieren, ihre Integrität sicherzustellen und ihren Inhalt zu schützen." Grundlagen - Seite 70, iOS Security Guide, Januar 2018.
Kombination aus APNs (Apple-Servern) + RESTful-API (MDM-Anbieter-Server)
Die Kommunikation erfolgt zwischen einem Gerät und einem Server, der mit einem Geräteverwaltungsprodukt verbunden ist.
Befehle werden vom MDM an das Gerät in plist-codierten Wörterbüchern übermittelt.
Alles über HTTPS. MDM-Server können (und werden in der Regel) gepinnt.
Apple gewährt dem MDM-Anbieter ein APNs-Zertifikat zur Authentifizierung
3 APIs: 1 für Wiederverkäufer, 1 für MDM-Anbieter, 1 für Gerätekennung (undokumentiert):
Die sogenannte DEP-"Cloud-Service"-API. Diese wird von MDM-Servern verwendet, um DEP-Profile mit bestimmten Geräten zu verknüpfen.
Die DEP-API, die von autorisierten Apple-Wiederverkäufern verwendet wird, um Geräte zu registrieren, den Registrierungsstatus zu überprüfen und den Transaktionsstatus zu überprüfen.
Die nicht dokumentierte private DEP-API. Diese wird von Apple-Geräten verwendet, um ihr DEP-Profil anzufordern. Auf macOS ist die cloudconfigurationd
-Binärdatei für die Kommunikation über diese API verantwortlich.
Moderner und JSON-basiert (im Vergleich zu plist)
Apple gewährt dem MDM-Anbieter ein OAuth-Token
DEP-"Cloud-Service"-API
RESTful
synchronisiert Gerätedatensätze von Apple zum MDM-Server
synchronisiert "DEP-Profile" von MDM-Servern zu Apple (die später vom Gerät empfangen werden)
Ein DEP-"Profil" enthält:
MDM-Anbieter-Server-URL
Zusätzliche vertrauenswürdige Zertifikate für Server-URL (optionales Pinning)
Zusätzliche Einstellungen (z. B. welche Bildschirme im Setup-Assistenten übersprungen werden sollen)
Apple-Geräte, die nach 2010 hergestellt wurden, haben im Allgemeinen 12-stellige alphanumerische Seriennummern, wobei die ersten drei Ziffern den Herstellungsort, die folgenden zwei das Jahr und die Woche der Herstellung, die nächsten drei eine eindeutige Kennung und die letzten vier die Modellnummer darstellen.
macOS Serial NumberErstellung des Gerätedatensatzes (Wiederverkäufer, Apple): Der Datensatz für das neue Gerät wird erstellt
Zuweisung des Gerätedatensatzes (Kunde): Das Gerät wird einem MDM-Server zugewiesen
Synchronisierung des Gerätedatensatzes (MDM-Anbieter): MDM synchronisiert die Gerätedatensätze und sendet die DEP-Profile an Apple
DEP-Check-in (Gerät): Das Gerät erhält sein DEP-Profil
Profilabruf (Gerät)
Profilinstallation (Gerät) a. inkl. MDM-, SCEP- und Root-CA-Nutzlasten
Ausgabe von MDM-Befehlen (Gerät)
Die Datei /Library/Developer/CommandLineTools/SDKs/MacOSX10.15.sdk/System/Library/PrivateFrameworks/ConfigurationProfiles.framework/ConfigurationProfiles.tbd
exportiert Funktionen, die als hochrangige "Schritte" des Anmeldevorgangs betrachtet werden können.
Dieser Teil des Prozesses tritt auf, wenn ein Benutzer einen Mac zum ersten Mal startet (oder nach einem vollständigen Löschen)
oder beim Ausführen von sudo profiles show -type enrollment
Bestimmen Sie, ob das Gerät DEP-fähig ist
Aktivierungseintrag ist der interne Name für das DEP-"Profil"
Beginnt, sobald das Gerät mit dem Internet verbunden ist
Gesteuert durch CPFetchActivationRecord
Implementiert durch cloudconfigurationd
über XPC. Der "Setup-Assistent" (wenn das Gerät zum ersten Mal gestartet wird) oder der profiles
-Befehl wird diesen Daemon kontaktieren, um den Aktivierungseintrag abzurufen.
LaunchDaemon (läuft immer als root)
Es folgen einige Schritte zur Abrufung des Aktivierungseintrags durch MCTeslaConfigurationFetcher
. Dieser Prozess verwendet eine Verschlüsselung namens Absinthe
Zertifikat abrufen
Initialisieren des Zustands aus dem Zertifikat (NACInit
)
Verwendet verschiedene gerätespezifische Daten (z. B. Seriennummer über IOKit
)
Sitzungsschlüssel abrufen
Sitzung herstellen (NACKeyEstablishment
)
Anfrage senden
POST an https://iprofiles.apple.com/macProfile und sende die Daten { "action": "RequestProfileConfiguration", "sn": "" }
Die JSON-Payload wird mit Absinthe verschlüsselt (NACSign
)
Alle Anfragen über HTTPs, eingebaute Stammzertifikate werden verwendet
Die Antwort ist ein JSON-Dictionary mit einigen wichtigen Daten wie:
url: URL des MDM-Anbieterhosts für das Aktivierungsprofil
anchor-certs: Array von DER-Zertifikaten, die als vertrauenswürdige Anker verwendet werden
Anfrage an URL im DEP-Profil bereitgestellt.
Ankerzertifikate werden verwendet, um das Vertrauen zu bewerten, wenn bereitgestellt.
Erinnerung: die anchor_certs-Eigenschaft des DEP-Profils
Anfrage ist ein einfaches .plist mit Gerätekennung
Beispiele: UDID, Betriebssystemversion.
CMS-signiert, DER-codiert
Signiert mit dem Geräteidentitätszertifikat (von APNS)
Zertifikatskette enthält abgelaufenes Apple iPhone Device CA
Sobald abgerufen, wird das Profil im System gespeichert
Dieser Schritt beginnt automatisch (wenn im Setup-Assistent)
Gesteuert durch CPInstallActivationProfile
Implementiert durch mdmclient über XPC
LaunchDaemon (als root) oder LaunchAgent (als Benutzer), abhängig vom Kontext
Konfigurationsprofile haben mehrere Nutlasten zur Installation
Framework hat eine Plugin-basierte Architektur zur Installation von Profilen
Jeder Nutlasttyp ist mit einem Plugin verbunden
Kann XPC (im Framework) oder klassisches Cocoa (in ManagedClient.app) sein
Beispiel:
Zertifikat-Nutlasten verwenden CertificateService.xpc
Typischerweise wird das Aktivierungsprofil eines MDM-Anbieters die folgenden Nutlasten enthalten:
com.apple.mdm
: um das Gerät in MDM einzuschreiben
com.apple.security.scep
: um dem Gerät ein Client-Zertifikat sicher bereitzustellen.
com.apple.security.pem
: um vertrauenswürdige CA-Zertifikate in den System-Schlüsselbund des Geräts zu installieren.
Installation der MDM-Nutlast entspricht dem MDM-Check-in in der Dokumentation
Nutlast enthält Schlüsseleigenschaften:
MDM-Check-In-URL (CheckInURL
)
MDM-Befehlsabfrage-URL (ServerURL
) + APNs-Thema, um es auszulösen
Um die MDM-Nutlast zu installieren, wird eine Anfrage an die CheckInURL
gesendet
Implementiert in mdmclient
MDM-Nutlast kann von anderen Nutlasten abhängen
Ermöglicht es, Anfragen an bestimmte Zertifikate zu binden:
Eigenschaft: CheckInURLPinningCertificateUUIDs
Eigenschaft: ServerURLPinningCertificateUUIDs
Über PEM-Nutlast geliefert
Ermöglicht es, dem Gerät mit einem Identitätszertifikat zugeordnet zu werden:
Eigenschaft: IdentityCertificateUUID
Über SCEP-Nutlast geliefert
Nach Abschluss des MDM-Check-ins kann der Anbieter Push-Benachrichtigungen über APNs senden
Bei Empfang, behandelt von mdmclient
Um nach MDM-Befehlen zu suchen, wird eine Anfrage an ServerURL gesendet
Nutzt zuvor installierte MDM-Nutlast:
ServerURLPinningCertificateUUIDs
für Anfragebindung
IdentityCertificateUUID
für TLS-Clientzertifikat
Wie bereits erwähnt, ist es zur Einschreibung eines Geräts in eine Organisation nur erforderlich, eine Seriennummer dieser Organisation zu haben. Sobald das Gerät eingeschrieben ist, werden mehrere Organisationen sensible Daten auf dem neuen Gerät installieren: Zertifikate, Anwendungen, WLAN-Passwörter, VPN-Konfigurationen und so weiter. Daher könnte dies ein gefährlicher Einstiegspunkt für Angreifer sein, wenn der Einschreibungsprozess nicht korrekt geschützt ist:
Enrolling Devices in Other OrganisationsLernen & üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)