DEP (Apple’s Device Enrollment Program) Rentan Terhadap Serangan

DEP (Apple’s Device Enrollment Program) Rentan Terhadap Serangan

Kerentanan keamanan yang ditemukan dalam Program Pendaftaran Perangkat Apple (DEP), memungkinkan penyerang untuk mendapatkan akses penuh ke jaringan perusahaan atau sekolah.

DEP adalah layanan gratis yang ditawarkan oleh Apple untuk memungkinkan perangkat baru secara otomatis dikonfigurasi dengan segala sesuatu dari aplikasi khusus ke pengaturan VPN. Semua yang diperlukan adalah nomor seri perangkat, dan itu adalah akar masalahnya, kata peneliti keamanan yang menemukannya.

LATAR BELAKANG
Sedikit latar belakang bagi mereka yang tidak akrab dengan cara organisasi mengonfigurasi perangkat Apple baru.

Banyak perusahaan, sekolah, dan organisasi lain yang melakukan pembelian massal perangkat Apple menggunakan server Pengelolaan Perangkat Seluler (MDM/Mobile Device Management). Ini memungkinkan mereka untuk sepenuhnya mengonfigurasi perangkat baru dengan semua aplikasi dan pengaturan yang diperlukan di dalam organisasi.

Program Pendaftaran Perangkat Apple (DEP) adalah cara zero-effort untuk memungkinkan akses perangkat baru ke MDM. Ini hanya meminta nomor seri, dan jika nomor tersebut adalah nomor yang valid untuk perangkat yang disediakan oleh Apple atau penjual resmi, maka akan diberikan akses.

KERENTANAN
Server MDM dapat dikonfigurasi untuk meminta nama pengguna dan kata sandi, tetapi beberapa organisasi tidak melakukannya karena mereka menganggap pemeriksaan nomor seri mencukupi.

Masalahnya, kata Duo Research, adalah dua kali lipat. Pertama, tidak terlalu sulit untuk mendapatkan nomor seri perangkat milik karyawan atau siswa. Teknik sosial kuno yang baik, seperti panggilan telepon dari IT yang meminta nomor seri untuk keperluan audit, misalnya. Itu kemudian akan memungkinkan aksi yang buruk untuk meminta DEP API mendapatkan informasi tentang organisasi yang dapat digunakan untuk membantu bentuk-bentuk serangan lainnya. Dan karena API DEP tidak menilai batas kueri, bahkan serangan brute force dapat digunakan untuk menebak nomor seri.

Kedua, dan lebih serius, nomor seri yang valid dapat dihasilkan yang kemudian akan memungkinkan mereka untuk mendaftarkan perangkat mereka sendiri di server MDM.

Nomor seri dapat diprediksi dan disusun menggunakan skema yang terkenal. Ini berarti bahwa penyerang tidak harus menemukan nomor seri yang secara tidak sengaja bocor; mereka malah dapat menghasilkan nomor seri yang valid dan menggunakan API DEP untuk menguji apakah mereka terdaftar dengan DEP.

Dalam konfigurasi di mana server MDM terkait tidak menerapkan autentikasi tambahan, aksi jahat dapat berpotensi mendaftarkan perangkat arbitrer ke server MDM organisasi. Kemampuan untuk mendaftarkan perangkat yang dipilih ke server MDM organisasi dapat memiliki konsekuensi yang signifikan, setelah itu memungkinkan akses ke sumber pribadi, organisasi, atau bahkan akses VPN penuh ke sistem internal.

RESPON APPLE
Praktik standar ketika kerentanan keamanan ditemukan adalah memberi tahu perusahaan untuk bertanggung jawab, dan memungkinkan mereka dalam 90 hari untuk memperbaiki sebelum mengungkapkan rincian secara publik. Waktu tambahan akan sering ditawarkan jika perusahaan memintanya.

Duo Research memberitahukan Apple pada Mei 2018 dan baru mempublikasikan penemuannya hari ini. Namun, ia mengatakan Apple telah memilih untuk tidak memperbaiki masalah, bukan hanya menyarankan organisasi untuk mengaktifkan opsi autentikasi di MDM.

Kerentanan yang terkait didalam Mac menangani pendaftaran MDM dilaporkan bulan lalu. Ini dapat memungkinkan penyerang untuk menginstal malware tanpa batas pada mesin bahkan sebelum pemiliknya melihat desktop untuk pertama kalinya.

Source: 9to5mac.com

Post Comment