Hackers kunnen MDM van Apple brute forcen om malafide apparaten toe te voegen

Abonneer je gratis op Techzine!

Beveiligingsonderzoekers hebben ontdekt dat de interface van Apple die gebruikt wordt om iPhones en iPads in een Mobile Device Management (MDM)-systeem te plaatsen, misbruikt kan worden om malafide apparaten toe te voegen. Dat meldt Ars Technica.

MDM-systemen worden vaak door organisaties gebruikt om de beveiliging van de apparaten van werknemers te beheren en te limiteren. Zo is het mogelijk om bepaalde toepassingen te blokkeren aan de hand van een beleid, en certificaten uit te delen om toegang te krijgen tot VPN’s.

De interface van Apple, DEP, om apparaten aan dat systeem toe te voegen, kan echter ook voor malafide doeleinden gebruikt worden. Hackers kunnen malafide apparaten toevoegen aan deze systemen en vertrouwelijke toegang tot de enterprise-systemen verkrijgen. Het enige wat nodig is, is het spoofen van een serienummer van een al toegevoegd apparaat.

Brute force

De kwetsbaarheid werd ontdekt door onderzoeker en development engineer James Barclay, samen met onderzoekers Pepijn Bruienne en Todd Manning. Volgens hen vertrouwen veel bedrijven alleen op het serienummer van een apparaat om er zeker van te zijn dat het apparaat het netwerk in mag komen.

“Door gebruik te maken van deze verificatiezwakte, kan een aanvaller elk apparaat aanmelden in de MDM-server van een organisatie, waardoor ze geprivilegieerde toegang kunnen krijgen die wordt gebruikt om verder te komen binnen het netwerk”, aldus Barclay. Als gevolg daarvan kunnen ze toegang krijgen tot vertrouwelijke gegevens of zelfs volledige VPN-toegang tot interne systemen.

Een hacker kan de DEP-interface ook gebruiken om informatie over een organisatie te verzamelen – bijvoorbeeld telefoonnummers en e-mailadressen – door het serienummer van een aangemeld apparaat te verkrijgen via open source intelligence. Dit kan ook door de eigenaar zo ver te krijgen om het apparaat af te staan of door de DEP API te brute forcen. Al die informatie kan gebruikt worden bij een aanval op een organisatie, om enterprise-data te verkrijgen.

Voorkomen

Het MDM-protocol van Apple ondersteund wel het gebruik van gebruikersauthenticatie, voor het apparaat wordt toegevoegd. Dit is echter niet verplicht, waardoor veel organisaties het niet gebruiken. Dan wordt er alleen een serienummer gebruikt. Serienummers zijn uniek voor een apparaat, maar niet per se geheim. Vaak kunnen ze online gevonden worden. Daarnaast is het format van de serienummers van Apple zo bekend, dat ze gemakkelijk te reproduceren zijn.

De eenvoudigste manier om deze aanvallen te voorkomen, is dan ook om gebruikersauthenticatie in te schakelen voordat een apparaat wordt toegevoegd. Een andere manier is om de apparaten die via MDM-systemen zijn toegevoegd niet te vertrouwen tot ze geautoriseerd zijn.