Вступ

Як вже зазначалося раніше, для того щоб спробувати зареєструвати пристрій в організації потрібен лише серійний номер, який належить цій організації. Після реєстрації пристрою, кілька організацій встановлять чутливі дані на новий пристрій: сертифікати, додатки, паролі WiFi, конфігурації VPN і так далі. Отже, це може бути небезпечним входом для атак, якщо процес реєстрації не захищений належним чином.

Наведено підсумок дослідження https://duo.com/labs/research/mdm-me-maybe. Перевірте його для отримання додаткових технічних деталей!

Огляд DEP та аналіз бінарних файлів MDM

Це дослідження розглядає бінарні файли, пов'язані з Програмою реєстрації пристроїв (DEP) та управлінням мобільними пристроями (MDM) на macOS. Основні компоненти включають:

• mdmclient: Взаємодіє з серверами MDM та спричиняє перевірки DEP на macOS версій до 10.13.4.

• profiles: Управляє конфігураційними профілями та спричиняє перевірки DEP на macOS версій 10.13.4 та пізніше.

• cloudconfigurationd: Управляє комунікаціями API DEP та отримує профілі реєстрації пристроїв.

Перевірки DEP використовують функції CPFetchActivationRecord та CPGetActivationRecord з приватного фреймворку конфігураційних профілів для отримання запису активації, причому CPFetchActivationRecord співпрацює з cloudconfigurationd через XPC.

Реверс-інженерія протоколу Tesla та схеми Absinthe

Перевірка DEP включає відправлення cloudconfigurationd зашифрованого, підписаного JSON-пакету на iprofiles.apple.com/macProfile. Пакет містить серійний номер пристрою та дію "RequestProfileConfiguration". Внутрішньо використовується схема шифрування, відома як "Absinthe". Розкриття цієї схеми складне і включає численні кроки, що призвели до дослідження альтернативних методів для вставки довільних серійних номерів у запит запису активації.

Проксіювання запитів DEP

Спроби перехоплення та зміни запитів DEP до iprofiles.apple.com за допомогою інструментів, таких як Charles Proxy, були ускладнені шифруванням пакетів та заходами безпеки SSL/TLS. Однак увімкнення конфігурації MCCloudConfigAcceptAnyHTTPSCertificate дозволяє обійти перевірку сертифікатів сервера, хоча зашифрований характер пакету все ще унеможливлює зміну серійного номера без ключа розшифрування.

Інструментування системних бінарних файлів, що взаємодіють з DEP

Інструментування системних бінарних файлів, таких як cloudconfigurationd, вимагає вимкнення Захисту Цілісності Системи (SIP) на macOS. З вимкненим SIP можна використовувати інструменти, такі як LLDB, для приєднання до системних процесів та потенційної зміни серійного номера, використаного взаємодії API DEP. Цей метод бажаний, оскільки він уникне складнощів з привілеями та підписом коду.

Експлуатація Інструментування Бінарних Файлів: Зміна пакету запиту DEP перед серіалізацією JSON в cloudconfigurationd виявилася ефективною. Процес включав:

1. Приєднання LLDB до cloudconfigurationd.

2. Знаходження місця, де отримують серійний номер системи.

3. Внесення довільного серійного номера в пам'ять перед шифруванням та відправленням пакету.

Цей метод дозволяв отримувати повні профілі DEP для довільних серійних номерів, демонструючи потенційну вразливість.

Автоматизація Інструментування за допомогою Python

Процес експлуатації був автоматизований за допомогою Python з використанням API LLDB, що дозволило програмно вводити довільні серійні номери та отримувати відповідні профілі DEP.

Потенційні Наслідки Вразливостей DEP та MDM

Дослідження підкреслило значні побоювання з питань безпеки:

1. Розкриття Інформації: Надаючи зареєстрований серійний номер DEP, можна отримати чутливу організаційну інформацію, що міститься в профілі DEP.

2. Реєстрація Рогатого Пристрою DEP: Без належної аутентифікації атакуючий з зареєстрованим серійним номером DEP може зареєструвати рогатий пристрій на сервері MDM організації, отримуючи потенційний доступ до чутливих даних та мережевих ресурсів.

На завершення, хоча DEP та MDM надають потужні інструменти для управління пристроями Apple в корпоративних середовищах, вони також представляють потенційні вектори атак, які потрібно захищати та контролювати.