2379861

Sicherheit: Fehler in Apples DEP gefunden

28.09.2018 | 10:06 Uhr |

Ein obskurer Fehler im Apples Device Enrollment Program (DEP) kann es bestimmten Hackern ermöglichen, auf Unternehmensnetzwerke zuzugreifen. Das lässt sich aber leicht verhindern.

Sicherheitsexperten von Duo Security melden, dass sie herausgefunden haben, wie man ein manipuliertes Gerät auf dem MDM-System (Mobile Device Management) eines Unternehmens registriert, wenn die Authentifizierung der registrierten Geräten fehlt. Auf diese Weise ließen sich vertrauliche Daten aus dem Unternehmensnetz ziehen.

Um dies zu erreichen, müssen Angreifer die gültige Seriennummer für ein Apple-Gerät in die Hände bekommen, das im Device Enrollment Program (DEP) von Apple registriert, aber noch nicht auf dem MDM-Server des Unternehmens eingerichtet ist, heißt es in der Veröffentlichung.

Die Forscher sagen, dass ein entschlossener Angreifer Online-Formulare durchsuchen, ausgeklügelte Phishing-Angriffe verwenden kann, um auf solche Informationen zuzugreifen, oder sogar Brute-Force-Angriffe verwenden kann, bei denen zufällige Seriennummern generiert werden. (Sie behaupten, ein Programm erstellt zu haben, das dies tut.)

Wenn eine gültige Seriennummer identifiziert wird, kann der Angreifer das System so manipulieren, dass es sein eigenes manipuliertes Gerät im MDM-Netzwerk registrieren lässt und damit die Sicherheitsvorkehrungen des Unternehmen umgeht. Die Angreifer können die Methode verwenden, um Details wie die Adresse eines Unternehmens, die Telefonnummer und die E-Mail-Adresse abzurufen. (Man fragt sich natürlich, warum so kompliziert, wenn Google diese Infos bereitwillig zur Verfügung stellt, oder noch schlimmer, die eigene Unternehmensseite im Impressum. – Anm. der Redaktion.)

Sturm im Wasserglas

Die Lehre daraus lautet:  Wenn Sie MDM-Geräte in einem sicheren Netzwerk verwalten, sollten Sie sofort die Veröffentlichung gültiger Seriennummern online einstellen. Das ist natürlich nur eine Vereinfachung des Berichts von Duo Security, aber Sie können ihn hier selbst lesen . Duo Security will Apple über diese Lücke  informiert haben, Cupertino hat aber noch nicht gehandelt, behaupten die Forscher.

In einigen Reaktionen auf die Veröffentlichung wird darauf hingewiesen, dass Apple selbst Unternehmen warnt, strenge Sicherheitsmaßnahmen anzuwenden, um solche Angriffe zu begrenzen, einschließlich der Verwendung von Benutzerauthentifizierung während der Einrichtung. Es ist wichtig zu sehen, dass die Unternehmens-IT nicht nur zufälligen Angriffen von unabhängigen Hackern ausgesetzt ist, wie der des Teenagers , der in die Systeme von Apple eingebrochen ist, sondern auch hochgradig organisierten Angriffen von gut ausgestatteten Gruppen – von denen einige staatlich gefördert werden.

Wir leben in einer Welt, in der auch kleine Mängel im Sicherheitsschutz, wie sie von Duo Security beschrieben werden, identifiziert werden müssen. Denn die am besten organisierten Angreifer sind unglaublich raffiniert, und diese Art der komplexen Invasion des Netzwerks eines Unternehmens scheint ein nützlicher Weg für jeden zu sein, der ein  APT-Szenario (advanced persistent threat) entwickelt. (Obwohl es viel einfacher ist, weniger gesicherte Geräte anzugreifen, als Apple-Geräte als Eingriffstor zu verwenden.)

ATP-Angriffe sind solche, bei denen Angreifer heimlich in Unternehmensnetzwerke eindringen und über einen langen Zeitraum in diesen Netzwerken bleiben, um Daten zu stehlen, gefälschte Identitäten zu erstellen und Computersysteme anderweitig zu schädigen.

Ewige Kriege

Um die Sicherheit tobt ein ewig währender Krieg. Exploits gegen iOS und macOS werden eher selten identifiziert, das spiegelt die Sicherheit dieser Systeme wider, aber Selbstzufriedenheit ist keine Entschuldigung für Unternehmensanwender. Sie wissen bereits, dass fast die Hälfte aller internationalen Unternehmen von Cyberkriminalität betroffen sind, und die bei diesen Angriffen verwendeten Angriffsszenarien werden immer komplexer.

Die jüngste Zunahme der Angriffe auf Office 365 zeigt einen aktuellen Trend auf, bei dem Kriminelle versuchen, über Cloud-Service-APIs die Unternehmenssicherheit zu umgehen oder ganz zerstören. Die erst kürzlich veröffentlichte Bedrohung "Dark Caracal" greift Mac-, Linux- und Windows-Systeme auf unterschiedliche Weise an, und zwar basiert auf Multi-Plattform-Malware. Wir alle haben Geschichten gehört, wie Kriminelle kleine Lieferanten für große Unternehmen ansprechen, um in Unternehmensnetzwerke zu gelangen oder hergestellte Geräte zu infizieren.

Wie man Angriffe über Apples Fehler im ADE verhindert.

Im Falle des von Duo Security identifizierten Fehlers sind die Lösungen relativ einfach:

  •     Halten Sie Seriennummern geheim.

  •     Überwachen Sie Netzwerke auf ungewöhnliche Aktivitäten wie z.B. die Anzeichen von Brute-Force-Angriffen.

  •     Pflicht-Authentifizierung auf jedem MDM-Server, der mit DEP verwendet wird.

Es lohnt sich auch, einen Null-Vertrauen-Ansatz für neu registrierte Geräte anzuwenden und der Erstinstallation in einem separaten Vorgang Privilegien zuzuweisen. Auch der Einsatz anspruchsvollerer MDM-Lösungen wie beispielsweise von Jamf kann helfen. In einem Umfeld, das durch mehrere Angriffsvektoren und hochprofessionelle Angreifer gekennzeichnet ist, erfordert eine gute Sicherheitspraxis jedoch, dass die beste Plattformsicherheit durch fundiertes Sicherheitsbewusstsein und ständige Wachsamkeit ergänzt wird.

Macwelt Marktplatz

2379861