Два эксперта по безопасности — Джесс Эндал (Jesse Endahl) из компании Fleetsmith и Макс Беланже (Max Belanger),сотрудник Dropbox, продемонстрировали на конференцииBlack Hat, как можно скомпрометировать новые ноутбуки Apple MacBook в корпоративных средах припервой их загрузке и первом подключении к локальной сети.

Эксперты использовали MDM-протокол Apple сцелью извлечения манифеста и подмены запрошенного жертвой приложения навредоносное.MDM позволяет корпоративным администраторам удаленно управлять устройствамина базе macOS и iOS, в том числе устанавливать и удалять приложения,блокировать устройства или осуществлять сброс их установок до заводских.

Каждый раз, когда к корпоративной сетидобавляется новое устройство, оно получает «профиль настроек». Эта операция производится автоматически с помощьюпрограммы Device Enrollment Program (DEP).

Компьютеры на базе macOS автоматическиподключаются к MDM-серверу при первой загрузке или после сброса настроек.Профиль DEP, который пересылается на устройство, формируется на MDM-сервереавтоматически и включает информацию, относящуюся к установке ПО (URL-адрессервера, сертификаты и т. д.).

Используя команду InstallApplication,администраторы могут устанавливать специализированные приложения. Эта командаиспользует URL-манифест, в ответ на который поступает XML-файл, содержащий всю информацию,необходимую для установки приложения.

Все дело в человеке посередине

Эксперты продемонстрировали, что с помощьюMitM-атаки этим манифестом можно манипулировать и, соответственно, подменятьустанавливаемые приложения. Произвести такую атаку непросто, отмечают эксперты,однако вполне реально — по крайней мере, для высокопрофессиональных злоумышленников, в томчисле, работающих на спецслужбы.

Компания Apple получила информацию в апреле 2018 г. и в начале маяподтвердила справедливость выводов Эндала и Беланже. В обновлении macOS 10.13.6этот «баг» был исправлен: MDM-системаApple теперь снабжена командой InstallEnterpriseApplication, которая позволяетпоставщикам MDM-решений предоставлять специальные сертификаты для привязкизапроса к ManifestURL. Тем самым возможность подмены приложений снимается.

«Ноутбукина базе macOS представляют повышенный интерес для всевозможных злоумышленников,поскольку вероятнее всего в корпоративной среде ими будут пользоватьсяработники руководящего звена, через которых проходит ключевая информация, —считает Олег Галушкин, эксперт поинформационной безопасности компании SEC Consult Services. —Поэтому даже если исполнение такой атаки рядовым хакерам малодоступно, недооцениватьстепень угрозы от нее не стоит».