Уязвимость в системе управления компьютерами Apple обнаружили специалисты по информационной безопасности из компаний Fleetsmith и  Dropbox. Брешь позволяет устанавливать на Mac произвольный набор программ во время первоначальной настройки устройства с использованием MDM-сервера. Получив сообщение об ошибке, производитель устранил ее в новой версии macOS.

О проблеме рассказали ИБ-эксперты Джесси Эндаль (Jesse Endahl) и Макс Биланже (Max Bélanger) в своем докладе на конференции Black Hat. Как пояснили исследователи, уязвимость кроется в команде InstallApplication, при помощи которой устанавливается предварительный набор программ.

Во время первого запуска компьютер обращается к специально сконфигурированному MDM-серверу, который загружает на него необходимые приложения и выполняет настройку устройства. Этот процесс называется Device Enrollment Program (DEP) и применяется корпоративными клиентами Apple для ввода в строй нового оборудования.

Когда компьютер подключается к службе MDM, он загружает профиль конфигурации для установки необходимых программ. В ходе выполнения скрипта команда InstallApplication получает XML-манифест, который содержит всю информацию, необходимую для инсталляции приложения.

Как выяснили исследователи, используя технику «человек посередине», злоумышленник может подменить URL манифеста и установить на компьютер произвольный набор программ. Чтобы разместить полезную нагрузку на сертифицированном сервере, киберпреступник должен обладать достаточными привилегиями. Тем не менее, специалисты считают, что квалифицированный хакер или APT-группировка способны провести подобную атаку.

Эксперты сообщили Apple о найденной уязвимости в конце апреля, а 2 мая производитель подтвердил наличие бага. Пакет исправлений, устраняющий ошибку, включен в дистрибутив macOS версии 10.13.6. Разработчики добавили в систему новую команду InstallEnterpriseApplication, которая требует наличие специального сертификата, исключающего подмену адреса манифеста.

На той же конференции ИБ-специалист Патрик Уордл (Patrick Wardle) продемонстрировал, насколько легко обойти, взломать или отключить программные файрволлы для операционной системы Apple. Исследователь отметил невысокую надежность встроенного брандмауэра и подверг критике эффективность сторонних разработок. Зачастую наиболее популярные инструменты защиты осуществляют лишь простой поиск процесса по имени из черного списка и легко пропускают замаскированные зловреды.

Категории: Другие темы