Thỉnh thoảng, các chuyên gia bảo mật từ khắp nơi trên thế giới gặp nhau để thảo luận về các vấn đề bảo mật. Một trong số đó là Hội nghị Mũ đen được tổ chức ở Las Vegas. Tại một trong những sự kiện đã quản lý để kiểm soát máy Mac, trong cấu hình trước đó của hệ điều hành.
Lỗ hổng bảo mật hoạt động ngay khi chúng tôi định cấu hình Wi-Fi lần đầu tiên, tận dụng công cụ Quản lý thiết bị di động. Bằng cách này, phần mềm độc hại có thể được cài đặt trên máy tính ngay cả trước khi người dùng sử dụng máy tính lần đầu tiên. Điều nguy hiểm nhất là người sử dụng không thể nhận biết được đã để “cửa” mở.
Đúng là để nắm quyền kiểm soát, hàng loạt tình huống phải nảy sinh mà chỉ một bộ phận nhỏ người dùng có thể gặp phải. Nhân cơ hội này, các điều kiện để cuộc tấn công xảy ra, yêu cầu nhóm của chúng tôi sử dụng các công cụ MDM, dành cho thế giới kinh doanh.
Chúng tôi biết tin tức từ tạp chí Wired:
Khi bật máy Mac và kết nối với Wi-Fi lần đầu tiên, máy chủ yếu kiểm tra với máy chủ của Apple để gửi thông báo “Này, tôi là máy Mac có số sê-ri này. Tôi có thuộc về ai đó không? Tôi nên làm gì?"
Nếu số sê-ri được đăng ký như một phần của DEP hoặc MDM, lần kiểm tra đầu tiên đó sẽ tự động bắt đầu chuỗi cấu hình mặc định, thông qua một loạt kiểm tra bổ sung với máy chủ Apple và máy chủ của nhà cung cấp MDM. Các doanh nghiệp thường dựa vào công cụ MDM của bên thứ ba để điều hướng hệ sinh thái kinh doanh của Apple. Trong mỗi bước, hệ thống sử dụng "chứng chỉ", một phương pháp xác nhận rằng máy chủ web cụ thể là người xác nhận quyền sở hữu. Nhưng các nhà nghiên cứu đã phát hiện ra một vấn đề ở một trong các bước: Khi MDM truy cập Mac App Store để tải xuống phần mềm kinh doanh, trình tự sẽ truy xuất văn bản để tải xuống và nơi cài đặt văn bản đó, mà không xác định tính xác thực của văn bản.
Nếu tin tặc có thể xác định được vị trí nào đó giữa máy chủ web của nhà cung cấp MDM và thiết bị nạn nhân, họ có thể thay thế văn bản tải xuống bằng văn bản độc hại hướng dẫn Mac cài đặt phần mềm độc hại vào vị trí của nó.
Ngoài ra phần mềm độc hại này có thể truy cập thông tin trên toàn bộ mạng công ty.
Lỗ hổng này được tìm thấy bởi Jesse Endahl, giám đốc an ninh tại công ty quản lý Fleetsmith, và Max Belanger, một kỹ sư thực vật tại Dropbox.
Tuy nhiên, Lỗ hổng này đã được sửa trong macOS 10.13.6. tháng trước. Đây là những lý do tại sao chúng tôi khuyên bạn nên cài đặt từng bản cập nhật càng sớm càng tốt.
