Уязвимость в Apple DEP позволяет хакерам получать доступ к корпоративным ресурсам

Исследователи из Duo Security обнаружили недостаток в специализированном сервисе Apple для регистрации оборудования производителя на корпоративном MDM-сервере. Уязвимость в программном интерфейсе Device Enrollment Program (DEP) позволяет злоумышленникам подключить свое устройство к ресурсам технической поддержки организации.

Благодаря этому, киберпреступники могут скомпрометировать всю сеть предприятия, и получить адреса электронной почты и телефоны компании, чтобы использовать их в последующих атаках.

Технология MDM позволяет корпорации устанавливать необходимое программное обеспечение на новые устройства, а также загружать обновления или изменять конфигурацию оборудования, подключенного к корпоративной сети. Для этого каждый компьютер или мобильный телефон регистрируется на специализированном сервере через DEP.

«При регистрации на MDM-сервере основным идентификатором является серийный номер устройства. Протокол допускает предварительную аутентификацию пользователя, но не требует её, чтобы включить новое оборудование в пул поддержки. Таким образом, выяснив уникальный номер компьютера или мобильного телефона, который нередко можно найти в Интернете, злоумышленники способны присоединиться к корпоративному сервису обновлений. Это может стать отправной точкой для атаки на внутренние ресурсы компании», – объяснили специалисты из Duo Security.

Стоит отметить, что в мае текущего года, эксперты Duo Security сообщили Apple об обнаруженном недостатке, но компания так и не устранила уязвимость. Специалисты также подготовили ряд рекомендаций по снижению риска эксплуатации бага.

Apple уже исправляла ошибки в алгоритмах работы DEP в macOS в июле 2018 года. Тогда процедура конфигурирования нового компьютера оказалась уязвимой для атак типа «Man in the middle», и при помощи манипуляций с адресом XML-манифеста киберпреступники могли внедрить в систему вредоносное ПО.