Непонятный изъян в программе Apple Device Enrollment Program (DEP) может позволить решительным хакерам получить доступ к корпоративным сетям, хотя решение довольно простое.
Подделка серийного номера
Исследователи Duo Security говорят, что они выяснили, как зарегистрировать мошенническое устройство в корпоративной системе управления мобильными устройствами (MDM), если бизнес не смог включить аутентификацию на устройствах, зарегистрированных в системе.
По их словам, чтобы это работало, злоумышленникам необходимо получить действительный серийный номер устройства Apple, которое зарегистрировано в программе Apple Device Enrollment Program (DEP), но еще не настроено на сервере MDM компании.
Исследователи говорят, что решительный злоумышленник может просматривать онлайн-формы, использовать изощренные фишинговые атаки для доступа к такой информации или даже использовать атаки грубой силы, в которых генерируются случайные серийные номера. (Они утверждают, что создали программу, которая делает это.)
Когда действующий серийный номер идентифицирован, злоумышленник может обмануть систему, позволив ему зарегистрировать собственное мошенническое устройство в сети MDM, а затем использовать это устройство как средство проникновения в систему безопасности предприятия.
Они могут использовать взлом для получения таких сведений, как адрес организации, номер телефона и адреса электронной почты.
Мой главный вывод заключается в том, что если вы управляете устройствами MDM в защищенной сети, вам следует немедленно прекратить публикацию действительных серийных номеров в Интернете.
Секретные (плохие) агенты
Я упростил отчет Duo Security, но вы можете прочитать его здесь.
Исследователи утверждают, что Apple была проинформирована об этой брешь в своей броне, но пока не предприняла никаких действий.
В последующих отчетах указывается, что Apple сама предупреждает организации о необходимости применять строгие меры безопасности для ограничения таких атак, включая использование аутентификации пользователя во время настройки.
Важно понимать, что корпоративные ИТ-отделы сталкиваются не только со случайными атаками со стороны независимых хакеров, таких как подросток, взломавший системы Apple; он также сталкивается с хорошо организованными атаками со стороны хорошо обеспеченных ресурсами групп, некоторые из которых спонсируются государством.
Мы живем в среде, в которой необходимо выявлять небольшие недостатки в защите безопасности, такие как описанные Duo Security.
Это связано с тем, что наиболее высокоорганизованные злоумышленники невероятно изощренны, и такое сложное вторжение в сеть компании кажется полезным путем для любого, кто разрабатывает сценарий продвинутой постоянной угрозы (APT).
(Хотя взломать менее защищенные устройства на периферии гораздо проще, чем использовать системы Apple в качестве портала.)
Усовершенствованные постоянные угрозы — это угрозы, при которых злоумышленники незаметно проникают в корпоративные сети и остаются в этих сетях в течение длительного времени, чтобы похитить данные, создать поддельные удостоверения и иным образом вывести из строя компьютерные системы.
Бесконечные войны
Безопасность — это бесконечная война.
То, что обнаруженные эксплойты против систем Apple, как правило, довольно сложны или неясны, хорошо отражает, насколько безопасны эти системы, но самоуспокоенность не является оправданием для корпоративных пользователей.
Они уже знают, что почти половина всех международных предприятий стала мишенью киберпреступности, и векторы атак, используемые в этих атаках, становятся все более сложными.
Недавний всплеск атак на Office 365 отражает недавнюю тенденцию, когда преступники пытаются использовать API-интерфейсы облачных служб для создания сложных маршрутов для подрыва безопасности предприятия.
Относительно недавно раскрытая угроза «Dark Caracal» атакует системы Mac, Linux и Windows по-разному, используя одну маленькую часть мультиплатформенного вредоносного ПО.
Все мы слышали истории о том, как преступники нацеливаются на мелких поставщиков крупных предприятий, чтобы проникнуть в корпоративные сети или заразить промышленные устройства.
Как предотвратить атаки через уязвимость Apple Device Enrollment Program
В случае уязвимости Apple Device Enrollment, обнаруженной Duo Security, решения относительно просты:
Также стоит принять подход с нулевым доверием к вновь зарегистрированным устройствам, назначив привилегии в отдельной операции для первоначальной настройки. Также может помочь использование более сложных решений MDM, например, от Jamf.
Однако в среде, характеризующейся множественными векторами атак и высококвалифицированными злоумышленниками, надлежащая практика обеспечения безопасности требует дополнения лучшей в мире безопасности платформы информированным пониманием безопасности и постоянной бдительностью.
Гугл+? Если вы пользуетесь социальными сетями и являетесь пользователем Google+, почему бы не присоединиться к сообществу AppleHolic Kool Aid Corner и не принять участие в беседе, поскольку мы следуем духу новой модели Apple?
Есть история? Пожалуйста напишите мне через Twitter и дайте мне знать. Я бы хотел, чтобы вы подписались на меня в Твиттере, чтобы я мог сообщать вам о новых статьях, которые я публикую, и отчетах, которые я нахожу.
Авторское право © 2018 IDG Communications, Inc.