近日,研究人员在美国黑帽大会2018上展示了一个新的漏洞利用程序,可让攻击者远程入侵苹果Mac电脑。

在拉斯维加斯举行的黑帽大会上,安全研究人员演示了一种控制全新 Mac
电脑的方法。

原文出处:solidot

据悉,利用该漏洞黑客可能会在用户首次登录新Mac之前发起中间人攻击,或者下载恶意软件。当一台新Mac电脑首次开机并连接网络时,其会与苹果服务器进行登记,包括向MDM供应商服务器发起一系列附加检查如自动启动预定的设置序列等等。

在拉斯维加斯举行的黑帽大会(Black Hat)上,安全研究人员演示了一种控制全新
Mac
电脑的方法。研究人员表示,Mac电脑处理移动设备管理的方式存在漏洞,这使得他们可以在电脑上无限安装恶意软件,甚至在用户第一次看到桌面之前。当然,攻击一台全新的
Mac 并不是一件容易的事。

开源视频转码软件 HandBrake
本月初向用户发出警告,它的 Mac
版软件的镜像下载服务器遭到入侵,软件被植入后门,允许攻击者控制受害者的计算机。

一般来说,企业会依赖第三方MDM来导航至苹果的企业生态系统,而大型公司也可以使用苹果的设备注册计划和移动设备管理(MDM)平台向在国外工作或远程工作的员工发送预配置好的设备。

图片 1

这起事件的一位不幸受害者是开发 Mac 和 iOS 软件的
Panic)
公司(该公司一款大受好评的游戏是《Firewatch(看火人)》)联合创始人
Steven Frank。

但显然在此过程中出现了漏洞,当 MDM 转移到Mac App
Store下载企业软件时,序列会检索一个清单,用于下载什么软件和在哪里安装,而无需确定清单真实性。

根据外媒 Wired 的报道,当一台 Mac 电脑第一次打开并连接到 Wi-Fi
时,它会与苹果的服务器进行连接登记,这基本上相当于在说:嘿,我是一台带序列号的
MacBook,我属于谁,我应该做什么。

他恰好在 HandBrake
遭到入侵期间手动更新了软件,忽视了要求管理权限的警告,安装和运行了后门版本的
HandBrake,他的电脑立即被攻击者控制。攻击者窃取了他的 git
凭证,克隆了多个源码库。攻击者随后还发送电子邮件,勒索大量比特币以避免源代码泄漏。

这就为攻击者提供了入侵条件,他们可潜伏到MDM供应商web服务器和被攻击设备之间,用恶意程序替换下载清单,指示电脑安装恶意程序。这种恶意程序不仅包括键盘记录程序和屏幕抓取器,还可包括寻找整个公司网络漏洞的工具等等。

序列号作为 DEP 和 MDM 登记的一部分,Mac 首次登记时将通过与苹果服务器和
MDM
供应商服务器的一系列附加检查自动启动预定的设置序列。企业通常依赖第三方
MDM 来导航至苹果的企业生态系统。

Steven
和同事商量之后决定拒绝支付勒索金。他们认为,攻击者可以利用源代码构建破解版的应用,但该公司的应用早就有破解版存在;攻击者可以构建恶意版的应用,这是不可避免的;竞争对手可以利用源代码获得一些竞争优势,但源代码可能含有恶意程序,未必对他们有利。

所幸苹果已发现了这个漏洞,并且在最新的macOS High
Sierra更新中发布了修复补丁,还没升级Mac的用户快去更新系统吧。

但研究人员在这个过程中发现了一个问题。当 MDM 转移到 Mac App Store
下载企业软件时,序列会检索一个清单,用于下载什么和在哪里安装,而不需要确定清单的真实性。

Steven
称,他们没有发现用户信息泄漏的迹象,对可能含有恶意程序的破解版本发出警告,表示正与
FBI 和苹果紧密合作。

来自:新浪科技

如果黑客可以潜伏在 MDM 供应商的 web
服务器和被攻击设备之间,他们可以用恶意程序替换下载清单,指示计算机安装恶意程序。这种恶意程序不仅包括键盘记录程序和屏幕抓取器,还包括寻找整个公司网络漏洞的工具。

Mac 管理公司 Fleetsmith 的首席安全 Jesse Endahl 和 Dropbox 的工程师 Max
Belanger
发现了这个问题。他们向苹果公司通报了这个漏洞,让苹果在他们公布攻击方法之前有时间修复。事实上,这个漏洞已经在
macOS 10.13.6 中得到了修复。