*严正声明:本文仅限于技术讨论,严禁用于其他用途。
近期,来自Fleetsmith公司(一家macOS管理公司)的CPO兼CSO-Jesse Endahl向外界演示了技术高超的攻击者如何通过DMD来入侵企业环境中的苹果Mac电脑。根据研究人员透露的信息,在这项技术的帮助下,攻击者将能够在新款Mac设备启动的时候入侵目标设备。
研究人员表示,他们能够利用苹果移动设备管理协议(MDM)来获取目标主机的manifest文件信息,并在目标设备上安装各种恶意应用。
MDM允许企业环境中的网络管理员远程访问企业网络中的macOS和iOS设备,在该协议的帮助下,管理员可以轻松安装或删除设备中的应用程序,他们甚至还可以锁定设备或清除设备中的数据。当企业环境中添加了新的设备时,MDM服务器会收到一份配置文件,设备会自动使用DEP设备注册程序来完成添加操作。此时,macOS设备在启动时或完成重置(恢复出厂设置)后,会自动跟MDM服务器建立通信连接。接下来,MDM服务器会将其创建的DEP配置文件发送给请求设备,其中包含了跟软件安装相关的信息,例如服务器的URL地址和绑定的证书等等。
通过使用MDM命令“InstallApplication”,管理员可以在目标设备上安装特定的应用程序。这条命令需要使用一个manifest URL,并返回一个XM文件,而这个XML文件中会包含安装应用程序时所需的全部信息。
专家解释称,攻击者将有可能修改这个manifest配置文件,并通过执行中间人攻击(MitM)来在目标设备上安装恶意软件。这项攻击技术需要在macOS电脑连接MDM服务器时进行,无论怎样,虽然理论上可行,但攻击的实现难度并不低,研究人员认为目前只有国家级黑客组织或ISP服务商能够执行这种类型的攻击。
目前,研究人员已经将有关该攻击技术的详细信息上报给了苹果公司。研究人员在其发表的研究报告中写到:“我们在发现了该漏洞之后,便立刻将其上报给了苹果公司,根据苹果公司的回复,他们已经修复了该漏洞,并实现了一种新的MDM命令形式:InstallEnterpriseApplication。该命令( macOS10.13.6可使用)允许MDM提供商提供指定的证书来与请求的Manifest URL进行绑定(这里使用了新的ManifestURLPinningCerts属性),但是具体的实现方式还需要MDM服务商自行决定。”
* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM