Apple MDM工具被曝存在身份认证漏洞

使用苹果设备注册(DEP)进行移动设备管理(MDM)注册的企业，在不添加二级认证的情况下，正面临信息过滤和攻击的风险。

MDM是一种帮助企业实施管理的常见技术，由多个供应商提供，可在一个平台中处理员工的各种移动设备使用情况，并实施安全策略，标准化更新，控制费用管理等。随着办公设备的多元化，分布的不同位置的员工使用手机、平板、电脑访问公司资料时可能存在各种风险，采用这种技术可以帮助企业控制已知/潜在风险。

DEP是一项简化iOS，macOS和tvOS设备的MDM注册的苹果服务，与要求终端用户或管理配置设备并手动注册设备的传统部署方法不同，DEP允许管理员自动执行该过程。

然而，最近Duo Labs的研究发现DEP只需要序列号就可以将设备注册到组织的MDM服务器中，这意味着攻击者可以将恶意设备注册到系统中。然后，该设备将作为特权端点，允许攻击者提取有关组织的重要信息。

“如果序列号是使用DEP注册的（不同于在MDM中注册的），并且MDM服务器在注册期间不需要额外的用户身份验证，攻击者可以将他们选择的设备注册到组织的MDM服务器中骗得一个合法的DEP注册序列号。“Duo的高级研发工程师James Barclay在接受采访时解释道。一旦设备注册成功，它将成为攻击方的“可信”设备，多数情况访问敏感信息（如设备和用户证书，VPN配置数据，注册代理，配置配置文件和各种其他内部数据和组织机密）可畅通无阻，

值得关注的是，攻击者要想成功需要克服一个不小的障碍——他们必须在真正的DEP序列号拥有者开始之前启动DEP注册，因为DEP仅接受设备序列号一次，所以骗取DEP序列号后要尽快注册才有可能实现攻击。不过在Duo看来，设备序列号获取途径多，难度小，通过社交工程，暴力破解，网络资源都可以获取。

然而，哪怕序列号已经被合法拥有者注册，攻击者仍然可以进行攻击。DEP序列号注册时，需要将设备验证给DEP API，然后API再检索激活记录。在这个过程中问题就出现了——激活的记录中包含组织信息。攻击者可能会使用DEP API检索激活记录（或DEP配置文件）和相关信息涉及的部门组织，利用检索到的信息进行社会工程攻击，如呼叫服务台提供序列号要求帮助，最终在MDM服务器中进行非法注册。

目前，DEP服务只通过提交DEP注册序列号来提供对攻击者有用的信息，而不需要任何用户级认证。它还通过使用以前获得的或生成的序列号简化了未经身份验证的MDM服务器的枚举，这可能导致攻击者能够访问受保护的或内部资源。

Barclay表示，从普遍的意义上看，攻击给人感觉就像是未能正确使用序列号进行身份验证。序列号仅用于唯一标识特定设备，它们不是绝对隐秘或不可预测的，因此不应该用于验证设备的身份。不幸的是，序列号被非法使用并非偶然现象。

苹果公司方面不认为这是一个漏洞，因为他们明文建议了企业在初始配置时应用用户身份验证或限制访问，但Barclay认为DEP服务目前的工作方式充当了攻击的催化剂，因为它降低了对未以安全优先方式配置的其他组件成功攻击的障碍。