Спецпроекты

Новые MacBook можно удаленно взломать при первой загрузке

ПО Безопасность Бизнес Техника

Ноутбуки на базе macOS в корпоративных сетях можно взламывать с помощью системы управления мобильными устройствами (MDM). Задача не самая простая в реализации, однако, как утверждают эксперты, обнаружившие уязвимость, вполне реализуемая для хакеров, работающих на правительства.

При первом же подключении

Два эксперта по безопасности — Джесс Эндал (Jesse Endahl) из компании Fleetsmith и Макс Беланже (Max Bélanger),сотрудник Dropbox, продемонстрировали на конференции Black Hat, как можно скомпрометировать новые ноутбуки Apple MacBook в корпоративных средах при первой их загрузке и первом подключении к локальной сети.

Эксперты использовали MDM-протокол Apple с целью извлечения манифеста и подмены запрошенного жертвой приложения на вредоносное.MDM позволяет корпоративным администраторам удаленно управлять устройствами на базе macOS и iOS, в том числе устанавливать и удалять приложения, блокировать устройства или осуществлять сброс их установок до заводских.

Каждый раз, когда к корпоративной сети добавляется новое устройство, оно получает «профиль настроек». Эта операция производится автоматически с помощью программы Device Enrollment Program (DEP).

Компьютеры на базе macOS автоматически подключаются к MDM-серверу при первой загрузке или после сброса настроек. Профиль DEP, который пересылается на устройство, формируется на MDM-сервере автоматически и включает информацию, относящуюся к установке ПО (URL-адрес сервера, сертификаты и т. д.).

MDM-системы можно использовать для взлома ноутбуков на базе macOS

Используя команду InstallApplication, администраторы могут устанавливать специализированные приложения. Эта команда использует URL-манифест, в ответ на который поступает XML-файл, содержащий всю информацию, необходимую для установки приложения.

Все дело в человеке посередине

Эксперты продемонстрировали, что с помощью MitM-атаки этим манифестом можно манипулировать и, соответственно, подменять устанавливаемые приложения. Произвести такую атаку непросто, отмечают эксперты, однако вполне реально — по крайней мере, для высокопрофессиональных злоумышленников, в том числе, работающих на спецслужбы.

Компания Apple получила информацию в апреле 2018 г. и в начале мая подтвердила справедливость выводов Эндала и Беланже. В обновлении macOS 10.13.6 этот «баг» был исправлен: MDM-система Apple теперь снабжена командой InstallEnterpriseApplication, которая позволяет поставщикам MDM-решений предоставлять специальные сертификаты для привязки запроса к ManifestURL. Тем самым возможность подмены приложений снимается.

«Ноутбуки на базе macOS представляют повышенный интерес для всевозможных злоумышленников, поскольку вероятнее всего в корпоративной среде ими будут пользоваться работники руководящего звена, через которых проходит ключевая информация, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Поэтому даже если исполнение такой атаки рядовым хакерам малодоступно, недооценивать степень угрозы от нее не стоит».



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Технология месяца

Что нужно знать о развитии СУБД: от «Спутника» до наших дней

Какие задачи решают системы управления базами данных сейчас и какие готовы решать в будущем?