Una vulnerabilità di sicurezza scoperta nel Device Enrollment Program (DEP) di Apple potrebbe consentire ad un malintenzionato di ottenere il pieno accesso ad una rete aziendale o scolastica. Ecco i dettagli.
Il DEP è un servizio gratuito offerto da Apple ad aziende e scuole per consentire la configurazione automatica dei nuovi dispositivi, dalle app personalizzate alle impostazioni VPN. Tutto ciò che serve è il numero di serie del dispositivo, e questa è proprio la radice del problema scovato da un ricercatore di sicurezza. .
Molte aziende, scuole e altre organizzazioni che effettuano acquisti in blocco di dispositivi Apple utilizzano un server MDM (Mobile Device Management). Questo permette loro di configurare velocemente un nuovo dispositivo con tutte le app e le impostazioni necessarie per quella organizzazione.
Il programma DEP (Device Enrollment Program) di Apple è un modo rapido e automatico per consentire a un nuovo dispositivo di accedere al MDM. Il procedimento richiede semplicemente un numero di serie e, a condizione che il numero sia valido e relativo a un dispositivo fornito da Apple o da un rivenditore autorizzato, verrà concesso l’accesso.
Il server MDM può essere configurato per richiedere un nome utente e una password, ma alcune organizzazioni non lo fanno perché considerano sufficiente il controllo del numero di serie.
Il problema, dice Duo Research, è duplice. Innanzitutto, non è necessariamente difficile ottenere il numero di serie di un dispositivo appartenente a un dipendente o a uno studente. Basta un po’ di ingegno, ad esempio simulando una telefonata dall’IT per richiedere il numero di serie a scopo di controllo aziendale. L’accesso al numero di serie consentirebbe a un malintenzionato di interrogare l’API DEP per ottenere informazioni sull’organizzazione che potrebbero essere utilizzate per poi attivare altre forme di attacco. E poiché l’API di DEP non limita le query anche gli attacchi brute force potrebbero essere utilizzati per scovare i numeri seriali.
In secondo luogo, potrebbe essere generato un numero seriale valido che consentirebbe ai malintenzionati di registrare il proprio dispositivo sul server MDM.
I numeri seriali sono prevedibili e sono costruiti utilizzando uno schema ben noto. Ciò significa che si possono generare numeri seriali validi e utilizzare l’API DEP per verificare se sono registrati con il DEP, senza quindi dover necessariamente conoscere il numero seriale di un dispositivo già registrato.
Nelle configurazioni in cui un server MDM associato non impone l’autenticazione aggiuntiva, un malintenzionato può potenzialmente registrare un dispositivo qualsiasi nel server MDM di un’organizzazione. La possibilità di registrare un dispositivo selezionato nel server MDM di un’organizzazione può avere conseguenze importanti, consentendo ad esempio l’accesso alle risorse private di un’organizzazione o persino l’accesso VPN completo ai sistemi interni.
Duo ha informato Apple nel maggio di quest’anno e ha pubblicato le sue scoperte solo oggi. Tuttavia, afferma che Apple ha scelto di non risolvere il problema, ma semplicemente di consigliare alle organizzazioni di attivare l’opzione di autenticazione in MDM.