Enrolling Devices in Other Organisations
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kao što je ranije komentarisano, da bi se pokušalo registrovati uređaj u organizaciji potreban je samo Serijski Broj koji pripada toj Organizaciji. Kada se uređaj registruje, nekoliko organizacija će instalirati osetljive podatke na novom uređaju: sertifikate, aplikacije, WiFi lozinke, VPN konfiguracije i tako dalje. Stoga, ovo može biti opasna tačka ulaza za napadače ako proces registracije nije pravilno zaštićen.
Sledeće je sažetak istraživanja https://duo.com/labs/research/mdm-me-maybe. Proverite ga za dodatne tehničke detalje!
Ovo istraživanje se bavi binarnim datotekama povezanim sa Programom za registraciju uređaja (DEP) i Upravom mobilnih uređaja (MDM) na macOS-u. Ključne komponente uključuju:
mdmclient
: Komunicira sa MDM serverima i pokreće DEP prijave na macOS verzijama pre 10.13.4.
profiles
: Upravljanje Konfiguracionim Profilima, i pokreće DEP prijave na macOS verzijama 10.13.4 i novijim.
cloudconfigurationd
: Upravljanje DEP API komunikacijama i preuzimanje profila za registraciju uređaja.
DEP prijave koriste funkcije CPFetchActivationRecord
i CPGetActivationRecord
iz privatnog okvira Konfiguracionih Profila za preuzimanje Aktivacionog Zapisa, pri čemu CPFetchActivationRecord
koordinira sa cloudconfigurationd
putem XPC.
DEP prijava uključuje cloudconfigurationd
slanje enkriptovanog, potpisanog JSON paketa na iprofiles.apple.com/macProfile. Paket uključuje serijski broj uređaja i akciju "RequestProfileConfiguration". Šema enkripcije koja se koristi interno se naziva "Absinthe". Razotkrivanje ove šeme je složeno i uključuje brojne korake, što je dovelo do istraživanja alternativnih metoda za umetanje proizvoljnih serijskih brojeva u zahtev za Aktivacioni Zapis.
Pokušaji presretanja i modifikacije DEP zahteva za iprofiles.apple.com korišćenjem alata kao što je Charles Proxy su ometeni enkripcijom paketa i SSL/TLS bezbednosnim merama. Međutim, omogućavanje konfiguracije MCCloudConfigAcceptAnyHTTPSCertificate
omogućava zaobilaženje validacije sertifikata servera, iako enkriptovana priroda paketa i dalje sprečava modifikaciju serijskog broja bez ključa za dekripciju.
Instrumentacija sistemskih binarnih datoteka kao što je cloudconfigurationd
zahteva onemogućavanje Zaštite Integriteta Sistema (SIP) na macOS-u. Sa onemogućenim SIP-om, alati kao što je LLDB mogu se koristiti za povezivanje sa sistemskim procesima i potencijalno modifikovanje serijskog broja koji se koristi u DEP API interakcijama. Ova metoda je poželjnija jer izbegava složenosti prava i potpisivanja koda.
Exploiting Binary Instrumentation: Modifikacija DEP zahteva paketa pre JSON serijalizacije u cloudconfigurationd
se pokazala efikasnom. Proces je uključivao:
Povezivanje LLDB sa cloudconfigurationd
.
Lociranje tačke gde se preuzima serijski broj sistema.
Umetanje proizvoljnog serijskog broja u memoriju pre nego što se paket enkriptuje i pošalje.
Ova metoda je omogućila preuzimanje kompletnog DEP profila za proizvoljne serijske brojeve, pokazujući potencijalnu ranjivost.
Proces eksploatacije je automatizovan korišćenjem Pythona sa LLDB API, što je omogućilo programatsko umetanje proizvoljnih serijskih brojeva i preuzimanje odgovarajućih DEP profila.
Istraživanje je istaklo značajne bezbednosne brige:
Otkrivanje informacija: Pružanjem serijskog broja registrovanog u DEP, osetljive organizacione informacije sadržane u DEP profilu mogu se preuzeti.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)