Apple MDM 工具中存在身份驗證漏洞

• DEP 
  

Apple的裝置註冊計劃的好處似乎很明顯，至少從使用者體驗看來是這樣。使用者可以取消裝配新裝置並準備好在第一天使用，而不是手動執行繁瑣的MDM註冊或使用傳統的端點部署方法（如映像）。

遺憾的是，如果組織尚未採取其他措施來保護其MDM註冊，那麼通過DEP簡化的終端使用者註冊流程也可以註冊，這就意味著黑客可以在該組織的MDM伺服器中註冊裝置，並假裝該裝置為企業裝置。

此外，攻擊者可以恢復該組織的資訊，如果該組織擁有特定Apple裝置。雖然黑客也不能是能實現，但由於在MDM註冊之前對裝置進行身份驗證的方式存在一些限制，因此是可以實現這一點的。

影響

在許多情況下，Apple的裝置註冊程式可能會被濫用，從而導致洩露有關組織的敏感資訊。兩個最明顯的方案涉及獲取有關裝置所屬組織的資訊，可以從DEP配置檔案中檢索。第二種是使用此資訊執行流氓DEP和MDM註冊。

• 資訊披露 

Activation record: {
AllowPairing = 1;
AnchorCertificates =     (
<array_of_der_encoded_certificates>
);
AwaitDeviceConfigured = 0;
ConfigurationURL = "https://example.com/enroll";
IsMDMUnremovable = 1;
IsMandatory = 1;
IsSupervised = 1;
OrganizationAddress = "123 Main Street, Anywhere, , 12345 (USA)";
OrganizationAddressLine1 = "123 Main Street";
OrganizationAddressLine2 = NULL;
OrganizationCity = Anywhere;
OrganizationCountry = USA;
OrganizationDepartment = "IT";
OrganizationEmail = "dep@example.com";
OrganizationMagic = 105CD5B18CE24784A3A0344D6V63CD91;
OrganizationName = "Example, Inc.";
OrganizationPhone = "+15555555555";
OrganizationSupportPhone = "+15555555555";
OrganizationZipCode = "12345";
SkipSetup =     (
<array_of_setup_screens_to_skip>
);
SupervisorHostCertificates =     (
);
}

• 盜賊DEP註冊 
  

Apple MDM協議支援 - 但不要求 - 在通過HTTP基本身份驗證進行MDM註冊之前進行使用者身份驗證。如果沒有身份驗證，通過DEP在MDM伺服器中註冊裝置所需的全部內容都是有效的DEP註冊序列號。因此，獲得這樣一個序列號的攻擊者（通過OSINT，社會工程或蠻力）將能夠註冊他們自己的裝置，就好像它是由該組織擁有的，只要它不是目前已註冊MDM伺服器。實質上，如果攻擊者能夠通過在真實裝置之前啟動DEP註冊來贏得比賽，他們就能夠承擔該裝置的身份。

組織機構確實可以利用MDM來部署敏感資訊，例如裝置和使用者證書、VPN配置資料、註冊代理、配置檔案以及各種其他內部資料和組織機密。此外，一些組織選擇不要求使用者身份驗證作為MDM註冊的一部分。這具有各種好處，例如更好的使用者體驗，並且不必將內部認證伺服器暴露給MDM伺服器以處理在公司網路外部發生的MDM註冊。

但是，這在利用DEP引導MDM註冊時會出現問題，因為攻擊者可以在組織的MDM伺服器中註冊他們選擇的任何端點。此外，一旦攻擊者成功註冊他們在MDM中選擇的端點，他們就可以獲得特權訪問，即可在網路內進一步轉移。

披露時間表

• 2018-05-16：向Apple提交初步報告。
  
• 2018-05-17：Apple的致謝。
  
• 2018-08-16：首次報告後90天。
  
• 2018-09-27：研究發表。
  
• 2018-09-28：ekoparty安全會議的公開披露。