परिचय

पहले ही टिप्पणी की गई थी, एक संगठन में एक उपकरण को नामांकित करने के लिए केवल उस संगठन का एक सीरियल नंबर आवश्यक है। एक बार उपकरण नामांकित होने के बाद, कई संगठन नए उपकरण पर संवेदनशील डेटा इंस्टॉल करेंगे: प्रमाणपत्र, एप्लिकेशन, WiFi पासवर्ड, VPN विन्यास और इत्यादि। इसलिए, यदि नामांकन प्रक्रिया सही ढंग से सुरक्षित नहीं है, तो यह हमलावरों के लिए एक खतरनाक प्रवेश बिंदु हो सकता है।

निम्नलिखित एक अनुसंधान का सारांश है https://duo.com/labs/research/mdm-me-maybe। अधिक तकनीकी विवरण के लिए इसे जांचें!

DEP और MDM बाइनरी विश्लेषण का अवलोकन

इस अनुसंधान में, macOS पर डिवाइस नामांकन कार्यक्रम (DEP) और मोबाइल डिवाइस प्रबंधन (MDM) से संबंधित बाइनरी का विश्लेषण किया गया है। मुख्य घटक शामिल हैं:

• mdmclient: macOS संस्करण 10.13.4 से पहले DEP चेक-इन को ट्रिगर करने वाले MDM सर्वरों के साथ संचार करता है।

• profiles: कॉन्फ़िगरेशन प्रोफ़ाइल का प्रबंधन करता है, और macOS संस्करण 10.13.4 और उसके बाद DEP चेक-इन को ट्रिगर करता है।

• cloudconfigurationd: DEP API संचार का प्रबंधन करता है और डिवाइस नामांकन प्रोफ़ाइल प्राप्त करता है।

DEP चेक-इन में CPFetchActivationRecord और CPGetActivationRecord फ़ंक्शन का उपयोग किया जाता है, जो एक्टिवेशन रिकॉर्ड प्राप्त करने के लिए निजी कॉन्फ़िगरेशन प्रोफ़ाइल्स फ़्रेमवर्क से कोआर्डिनेट करता है, CPFetchActivationRecord XPC के माध्यम से cloudconfigurationd के साथ।

Tesla Protocol और Absinthe Scheme Reverse Engineering

DEP चेक-इन में cloudconfigurationd द्वारा एक एन्क्रिप्टेड, साइन किया गया JSON पेलोड iprofiles.apple.com/macProfile को भेजा जाता है। पेलोड में उपकरण का सीरियल नंबर और कार्रवाई "RequestProfileConfiguration" शामिल है। उपयोग किया गया एन्क्रिप्शन स्कीम आंतरिक रूप से "Absinthe" के रूप में संदर्भित किया जाता है। इस स्कीम को सुलझाना जटिल है और कई कदमों को शामिल करता है, जिससे विकल्पिक तरीकों की खोज की गई जिससे एकाधिक सीरियल नंबरों को एक्टिवेशन रिकॉर्ड अनुरोध में डालने के लिए।

DEP अनुरोधों को प्रॉक्सी करना

Charles Proxy जैसे उपकरणों का उपयोग करके iprofiles.apple.com पर DEP अनुरोधों को अंतर्दृष्टि और संशोधन करने की कोशिशें एन्क्रिप्शन और SSL/TLS सुरक्षा उपायों द्वारा बाधित थीं। हालांकि, MCCloudConfigAcceptAnyHTTPSCertificate कॉन्फ़िगरेशन को सक्षम करने से सर्वर प्रमाणपत्र मान्यता की पुष्टि को छोड़ने की अनुमति होती है, हालांकि पेलोड की एन्क्रिप्टेड प्रकृति अब भी डिक्रिप्शन कुंजी के बिना सीरियल नंबर का संशोधन रोकती है।

DEP के साथ इंटरैक्ट करने वाले सिस्टम बाइनरी का उपकरण

cloudconfigurationd जैसे सिस्टम बाइनरी को इंस्ट्रुमेंट करने के लिए macOS पर सिस्टम अखंडता सुरक्षा (SIP) को अक्षम करना आवश्यक होता है। SIP अक्षम करने पर, LLDB जैसे उपकरणों का उपयोग सिस्टम प्रक्रियाओं से जुड़ने और DEP API इंटरैक्शन में उपयोग किए जाने वाले सीरियल नंबर को संशोधित करने की संभावना होती है। यह विधि उत्तम है क्योंकि यह अधिकारों और कोड साइनिंग की जटिलताओं से बचती है।

बाइनरी इंस्ट्रुमेंटेशन का शोषण: cloudconfigurationd में JSON सीरियलाइजेशन से पहले DEP अनुरोध पेलोड को संशोधित करना प्रभावी साबित हुआ। इस प्रक्रिया में शामिल था:

1. cloudconfigurationd में LLDB को जोड़ना।

2. सिस्टम सीरियल नंबर प्राप्त करने के स्थान का पता लगाना।

3. पेलोड को एन्क्रिप्ट और भेजने से पहले मेमोरी में एक अनिश्चित सीरियल नंबर डालना।

यह विधि एकाधिक सीरियल नंबरों के लिए पूर्ण DEP प्रोफ़ाइल प्राप्त करने की अनुमति देती थी, जो एक संभावित सुरक्षा दोष का प्रदर्शन करती थी।

पायथन के साथ इंस्ट्रुमेंटेशन को स्वचालित करना

इस शोषण प्रक्रिया को पायथन का उपयोग करके LLDB API के साथ स्वचालित किया गया था, जिससे एकाधिक सीरियल नंबरों को प्रोग्रामेटिक रूप से डालने और संबंधित DEP प्रोफ़ाइल प्राप्त करना संभव हुआ।

DEP और MDM दोषों के संभावित प्रभाव

अनुसंधान ने महत्वपूर्ण सुरक्षा संबंधित चिंताएं हाइलाइट की:

1. जानकारी लीक: DEP-नामांकित सीरियल नंबर प्रदान करके, DEP प्रोफ़ाइल में शामिल संगठनात्मक जानकारी प्राप्त की जा सकती है।

2. रोग डीईपी नामांकन: सही प्रमाणीकरण के बिना, एक DEP-नामांकित सीरियल नंबर वाला हमलावर एक संगठन के MDM सर्वर में एक रोग उपकरण को नामांकित कर सकता है, जिससे संवेदनशील डेटा और नेटवर्क संसाधनों तक पहुंच सकती है।

सारांश में, जबकि DEP और MDM उपकरणों को उद्यमी परिवेशों में प्रबंधित कर