MDM-Lücke ermöglichte komplette Mac-Übernahme bei Erstinstallation
Das Mobile Device Management von macOS hatte eine Sicherheitslücke, über die ein Man-in-the-Middle den betroffenen Rechner komplett kapern könnte.
Fabrikneue Apple-Rechner ließen sich beim ersten Netz-Kontakt komplett kapern. Sicherheitsforscher haben auf der Black-Hat-Konferenz in Las Vegas gezeigt, wie eine Schwachstelle in macOS High Sierra entsprechend missbraucht werden kann. Apple hat die Lücke mittlerweile geschlossen.
MDM und DEP betroffen
Der Fehler steckte im Mobile Device Management (MDM), mit der macOS standardmäßig ausgerüstet ist, berichtet Wired. Sie erlaubt eine Fernwartung der Maschine durch Administratoren und ist für Firmennetzen oder Schulen gedacht. Betroffen war zudem Apples Device Enrollment Program (DEP), mit dem Macs beim ersten Start mit Unternehmenseinstellungen versorgt werden. Beim ersten Start eines frischen Rechners kontaktiert dieser Apples Server und teilt seine Seriennummer mit. Ist diese für MDM oder DEP registriert, läuft eine spezielle Setup-Routine ab, die sowohl Apples Server als auch die des MDM- beziehungsweise DEP-Anbieters kontaktiert.
Eigentlich sind diese Routinen verschlüsselt und mittels Certificate Pinning gegen Man-in-the-Middle-Angriffe geschützt. Die beiden Sicherheitsforscher Jesse Endahl von Fleetsmith und Max Belanger von Dropbox stellten allerdings fest, dass einer dieser Schritte nicht ausreichend abgesichert war. Sobald der MDM- beziehungsweise DEP-Vorgang abgeschlossen ist, wird der Mac normalerweise in den Mac App Store gelenkt, wo er sich dann mit Firmensoftware versorgt. Beim Herunterladen des entsprechenden Manifests fehlte allerdings das Certificate Pinning. Ein Angreifer im gleichen Netz könnte also dem Rechner ein verfälschtes Manifest unterjubeln, damit dieser sich einen Schädling herunterlädt und diesen installiert. Der Rechner ist somit komplett unter der Kontrolle der Angreifer.
Ganz früh im Setup-Prozess
Belanger hält den Fehler insbesondere bei Firmen für problematisch. Es sei denkbar, mit der Methode ganze Firmennetze mit Macs zu übernehmen. "Das passiert alles ganz früh im Setup-Prozess, entsprechend gibt es fast keine Restriktionen, was diese Setup-Komponenten tun können." Er denkt an Keylogger oder Screengrabber, die sich hier installieren ließen. Er könne sich vorstellen, dass auch Hacker aus Regierungskreisen an der Methode Interesse haben. Apple hat den von Endahl und Belanger entdeckten Bug mit dem Update auf macOS 10.13.6 behoben. (bsc)