Quale potrebbe essere un momento più felice? Stai iniziando a lavorare con il processo di installazione di un nuovissimo Mac.

Quale potrebbe essere un momento più infelice? Stai iniziando a lavorare con il processo di installazione di un nuovissimo Mac.

Scusate gli autori del quiz per essere rimasti sconcertati su una chiave di risposta, man mano che si diffonde la notizia che l'hacking sarebbe possibile tramite gli strumenti di configurazione della gestione dell'hardware aziendale di Apple.

Il risultato sarebbe ottenere l'accesso remoto al Mac.

Sembrava che il nuovo Mac potesse essere compromesso anche prima che l'utente lo tirasse fuori dalla scatola.

I risultati dei ricercatori sono stati discussi al recente Black Hat USA 2018 a Las Vegas. Jesse Endahl, Chief Security Officer della società di gestione dei dispositivi Apple Fleetsmith, e Max Belanger, un ingegnere del personale presso Dropbox, erano allo spettacolo per spiegare le loro scoperte.

"Abbiamo trovato un bug che ci consente di compromettere il dispositivo e installare software dannoso prima ancora che l'utente abbia effettuato l'accesso per la prima volta, "Endahl ha detto, in Culto di Mac .

Di cosa si tratta?

In poche parole, il malfattore può costruire, nel ruolo di Mikey Campbell in AppleInsider ha scritto, " un attacco man-in-the-middle che scarica malware o altro software dannoso prima che un client acceda per la prima volta a un nuovo Mac."

Gli "strumenti aziendali" coinvolti e di cui si parla a lungo sono il Device Enrollment Program e la piattaforma Mobile Device Management.

"L'attacco sfrutta i Mac aziendali utilizzando il Device Enrollment Program (.pdf) di Apple e la sua piattaforma Mobile Device Management, " ha detto Buster Hein a Culto di Mac . "Gli strumenti aziendali consentono alle aziende di personalizzare completamente un Mac spedito a un dipendente direttamente da Apple. Tuttavia, una falla nel sistema consente agli aggressori di inserire malware sui Mac da remoto."

Questi stessi strumenti funzionano in tandem in modo che le aziende possano aspettarsi semplici regimi di configurazione IT nell'implementazione di un gran numero di dispositivi per i propri dipendenti, disse AppleInsider .

Come Cablato detto anche, "L'idea è che un'azienda possa spedire i Mac ai propri dipendenti direttamente dai magazzini di Apple, e i dispositivi si configureranno automaticamente per entrare a far parte del loro ecosistema aziendale dopo il primo avvio e la connessione al Wi-Fi."

E questo vantaggio avrebbe senso per le aziende in cui parte della forza lavoro si trova in un ufficio satellite o lavora da casa.

Un briefing della conferenza Black Hat sullo stesso diceva:"Il nostro discorso ripercorre le varie fasi del bootstrap, mostrando quali binari sono coinvolti, l'IPC scorre sul dispositivo, e valuta la sicurezza della rete (TLS) delle comunicazioni chiave client/server. Seguiremo con una demo dal vivo che mostra come un attore di uno stato nazionale potrebbe sfruttare questa vulnerabilità in modo che un utente possa scartare un Mac nuovo di zecca, e l'attaccante potrebbe sradicarlo dalla scatola la prima volta che si connette al WiFi."

Hein in Culto di Mac ha continuato spiegando che "quando i Mac aziendali utilizzano MDM [Mobile Device Management] per vedere quali app installare dal Mac App Store, non c'è nessun certificato pinning per verificare l'autenticità del manifest. Gli hacker potrebbero utilizzare un exploit man-in-the-middle per installare app dannose per accedere ai dati. A peggiorare le cose, il difetto potrebbe essere utilizzato per hackerare i computer di un'intera azienda."

Campbell ha anche esaminato "il pinning del certificato, " che ha lo scopo di autenticare i server Web attraverso il processo di configurazione. "In particolare, i ricercatori hanno trovato un bug nella sequenza MDM di Apple che, quando il processo passa la macchina al Mac App Store, non riesce a completare il blocco per confermare l'autenticità di un manifest di download dell'app, diceva il rapporto. Il buco offre agli hacker l'opportunità di installare codice dannoso su un Mac di destinazione in remoto e senza avvisare l'utente finale".

Lily Hay Newman ha parlato di "rilegatura del certificato" in Cablato come "un metodo per confermare che determinati server Web sono chi affermano".

I ricercatori hanno individuato un problema durante una fase. "Quando MDM passa al Mac App Store per scaricare il software aziendale, la sequenza recupera un manifest per cosa scaricare e dove installarlo senza bloccare per confermare l'autenticità del manifest."

Endahl ha detto nel comunicato stampa della sua azienda che "sotto il cofano, le implementazioni DEP e MDM coinvolgono molte parti in movimento, e il processo di bootstrap espone le vulnerabilità quando un dispositivo viene portato a uno stato di provisioning completo."

La risposta di Apple? Secondo i rapporti, Apple ha affrontato il problema quando notificato dai ricercatori, in quanto la vulnerabilità è stata corretta in macOS High Sierra 10.13.6.

© 2018 Tech Xplore