/image%2F2647755%2F20190518%2Fob_d3ba56_giphy-2.gif)
La faiblesse de l'authentification dans le DEP d'Apple pourrait ouvrir une fenêtre d'opportunité pour les pirates.
Les chercheurs ont découvert une faille de sécurité dans le processus d'authentification du programme DEP (Apple Device Enrollment Program), un service Apple qui aide les entreprises à inscrire des appareils iOS, macOS et tvOS dans des systèmes de gestion d'appareils mobiles.
Le problème est centré sur l'authentification requise (ou non requise) pour ces périphériques inscrits.
"Cette vulnérabilité permet à quelqu'un d'envoyer un numéro de série Apple valide au serveur et de récupérer le profil DEP", déclare James Barclay, ingénieur senior R & D et analyste en chef chez Duo Labs, qui a trouvé le bogue.
Et cela ne signifie pas nécessairement que l'attaquant a vu les appareils. "L'espace clé est suffisamment petit pour que l'attaquant puisse générer des nombres de forces brutes et les soumettre en vrac jusqu'à ce qu'ils obtiennent une réponse valide", explique Barclay. Alors que le profil DEP contient des informations sur les réseaux et les privilèges qui pourraient être utiles pour développer une attaque, les nouvelles pourraient être bien pires pour certaines organisations dotées de configurations MDM spécifiques.
"De nombreuses configurations de MDM ne requièrent aucune information supplémentaire sur le système en cours d'enregistrement", explique Rich Smith, directeur de Duo Labs. "Si le serveur MDM ne possède pas d'exigences d'authentification, une organisation distribuant les certificats de son VPN via le serveur MDM peut voir un attaquant inscrit, obtenir le certificat et les informations de configuration VPN et être un périphérique autorisé sur le réseau."
Et à ce moment-là, le périphérique malveillant est libre de parcourir le réseau en faisant son sale boulot sans trop le ralentir, dit-il.
Au moment de cette publication, rien ne prouve que cette attaque a été utilisée dans la nature, dit Smith.
Duo Labs, qui a détaillé ses conclusions dans un article de blog publié aujourd’hui, a suivi une politique de divulgation de 90 jours pour cette vulnérabilité, notifiant Apple environ trois mois avant la publication de son rapport . Duo ne publiera pas publiquement le code pour exploiter la vulnérabilité, dit Smith.
Un client ne peut pas faire grand chose pour remédier à cette vulnérabilité, dit Smith. "C'est moins un bogue et plus une faille; le numéro de série, seule information utilisée pour authentifier un périphérique, est à l'origine du problème."
"Corriger une faille peut être plus complexe que de corriger un bug", note-t-il.
Le numéro de série n'est pas suffisant pour l'authentification, dit-il. Il ne s’agit pas d’une "forme d’authentification suffisamment forte pour fournir les propriétés que nous aimerions voir s’inscrire dans la flotte d’une entreprise", déclare M. Smith.
Pendant ce temps, Apple pourrait ne pas avoir à publier de correctif pour la faille aux utilisateurs. Barclay souligne que le problème existe dans le code serveur d'Apple; la correction peut avoir lieu à tout moment, avec peu ou pas de notification aux utilisateurs du service. Apple n'a pas encore répondu publiquement à la faille.
Source : darkreading
Suivez ce blog : Newsletter, Mail
Suivez-moi sur : Twitter ; Discord (chat, news..; Reddit
/image%2F2647755%2F20190821%2Fob_f9baf9_images-8.jpeg)
/image%2F2647755%2F20190812%2Fob_6366c0_getty-586113570-2000133320009280177-39.jpg)
/image%2F2647755%2F20190727%2Fob_2530a7_telechargement-3.jpeg)
/image%2F2647755%2F20190715%2Fob_5a59db_apple-logo-tim-cook-keynote-mars-2019.jpg){kind=logo}
/image%2F2647755%2F20191213%2Fob_7aeb23_virtualbox-6-1-officially-released-wit.jpg)
/image%2F2647755%2F20191213%2Fob_ea3320_chip.png)
/image%2F2647755%2F20191213%2Fob_7c8939_64063315c2c194e4.jpeg)
/image%2F2647755%2F20191202%2Fob_a3a8f1_opensuse-leap-15-0.jpg)
Commenter cet article