Allvarlig sårbarhet i enterprise-installation av Mac-datorer hittad

Säkerhetsforskare kunde tvinga datorer att ladda ner malware direkt vid uppstart

Din helt nya Mac-dator är sårbar för hackerattacker i samma sekund som den ansluts till ett WiFi-nätverk. Det avslöjar säkerhetsforskare som bevisar att de kan ta över en dator redan innan användaren ser skrivbordet i macOS för första gången.

Det var under årets Black Hat-konferens som säkerhetsforskare lade fram bevis på sin nya attack. Den använder sårbarheter i Mobile Device Management som ger dem obegränsad åtkomst för att installera malware och annat otyg direkt i macOS äldre än version 10.13.6.

Med det sagt så är tillvägagångssättet långt ifrån enkelt. Det krävs exempelvis ett företag som faktiskt använder Mobile Device Management för att installera appar – och det eliminerar hotet för i princip alla normalanvändare idag.

Vad som är skrämmande är att sårbarheten kan användas av mer avancerade, speciellt riktade attacker från hackergrupper med statligt stöd.

Nyfiken på hur det fungerar? Mobile Device Management används, väldigt enkelt förklarat, likt följande:

  1. När Mac-datorn ansluts till ett WiFi-nätverk första gången kontrolleras datorns serienummer mot Apples servrar.
  2. Om serienumret är registrerat för DEP och MDM initieras en förinställd installationssekvens; detta med en serie extra kontrollprocessor mot Apples- och tredjeparts-servrar.
  3. Varje extra anslutning mot en tredjepartsserver använder så kallad ”certificate pinning” för att verifiera om serverns identitet.
  4. När identiteten är bekräftad laddas ett manifest över mjukvara som behövs ner till datorn. Mjukvaran installeras sedan utifrån manifestet.

Vad säkerhetsforskarna kom på är att man kan byta ut manifestet med mjukvaran som ska installeras.

Genom att ändra adresserna i manifestet kan datorn tvingas att ladda ner så kallade keyloggers, verktyg för att spela in skärmen och annat otyg. Helt utan att några säkerhetsspärrar reagerar på installationerna.

Extra otäckt är att säkerhetsintrång hos ett företag kan göra att precis alla datorer som använder Mobile Device Management för nyinstallation drabbas, och inte bara en enskild maskin. Ni kan ju bara tänka er vilka konsekvenser det kan få.

Sårbarheten identifierades av Jesse Endahl som är säkerhetsansvarig på företaget Fleetsmith, och Max Bélanger som är en ingenjör på Dropbox.

Innan sårbarheten avslöjades publikt kontaktade de Apple som åtgärdade problemet med uppdateringen macOS 10.13.6. Uppdateringen släpptes under juli månad, så bara äldre exemplar i exempelvis butikslager är drabbade idag.