Jesse Endhal, dyrektor ds bezpieczeństwa w firmie Fleetsmith oraz inżynier Max Bélanger z Dropboxa odkryli dziurę w zabezpieczeniach macOS, która pozwalała zainfekować komputery już podczas procesu pierwszej konfiguracji. Apple zostało powiadomione o błędzie i załatało go w wersji 10.13.6.

Big a72cbe4f 85a9 4bea 8caa 8efa1c37e269

Błąd wystąpił w procesie konfiguracyjnym dokonywanym przy pomocy korporacyjnych narzędzi z Device Enrollment Program (DEP) i platformy Mobile Device Management (MDM). Umożliwiają one zapisanym firmom zdalnie zarządzać sprzętem Apple przypisanym do ich konta.

Każdy Mac, uzyskując pierwsze połączenie internetowe, wysyła zapytanie identyfikacyjne do Apple podając swój numer seryjny. Jeśli komputer jest zarejestrowany w wyżej wymienionej platformie, zamiast tradycyjnego procesu konfiguracji, rozpoczyna się automatyczna konfiguracja wg wskazań administratora firmy. W teorii każda operacja jest uwierzytelniana metodą „certificate pinning”, co zapewnia bezpieczeństwo całego procesu. Ale jak się okazało, w całym tym ciągu, jeden z procesów , odpowiadający za ściągnięcie odpowiedniego oprogramowania z Mac App Store, pozostał niezabezpieczony.

Jeśli haker zdołałby przeprowadzić atak typu „man-in-the-middle”, mógłby podmienić polecenie instalacji na takie które zainstalowałoby na komputerze złośliwe oprogramowanie dowolnego typu. W efekcie, po włączeniu systemu, świeży Mac byłby od razu zainfekowany. Biorąc pod uwagę, że byłby to komputer wewnątrz korporacyjnej sieci, hakerzy mogliby to wykorzystać do dalszej jej penetracji i infekowania kolejnych komputerów wpiętych przez MDM.

Odkrywcy określają ten typ ataku jako trudny do przeprowadzenie, ale ze względu na to, że jego celem mogą być duże organizacje a poziom kontroli jaki można uzyskać jest bardzo duży, może być łakomym kąskiem dla dobrze przygotowanych grup hakerskich. Ułatwieniem dla nich może być też atak poprzez użytkowników pracujących w domach, domowe routery są znacznie prostsze do przejęcia od ich korporacyjnych odpowiedników.

Łatka Apple łata tę dziurę, ale nie do końca rozwiązuje problem, cały czas narażone są komputery dostarczane ze starszymi wersjami systemów.

Źródło: WIRED, Cult of Mac
Zdjęcie: Pixabay : TheDigitalArtist