Falha em sistema da Apple ameaça segurança de empresas

Uma falha obscura no DEP (Device Enrollment Program), da Apple, pode permitir que determinados hackers acessem redes corporativas, embora a solução seja bem direta.

Pesquisadores da Duo Security disseram que descobriram como inscrever um dispositivo invasor no sistema de gerenciamento de dispositivos móveis (MDM) de uma empresa se não houver permissão da autenticação em dispositivos inscritos no sistema.

Para fazer isso funcionar, os invasores precisam obter o número de série válido para um dispositivo da Apple que está registrado no DEP da Apple, mas ainda não configurado no servidor MDM da empresa, disseram eles.

Os pesquisadores afirmam que um atacante determinado pode procurar por formulários on-line, usar ataques sofisticados de phishing para acessar essas informações ou até mesmo usar ataques de força bruta nos quais números aleatórios são gerados.

Quando uma serial válida é identificada, o invasor pode falsificar o sistema para permitir que ele registre seu próprio dispositivo não autorizado na rede do MDM e, em seguida, use esse dispositivo para penetrar na segurança da empresa.

Além disso, podem usar o hack para recuperar detalhes, como o endereço, o número de telefone e os endereços de e-mail de uma organização.

Agentes secretos

A Apple foi informada dessa falha, mas ainda não agiu, afirmam os pesquisadores. Relatórios subsequentes apontam que a própria Apple alerta as organizações para aplicar medidas de segurança fortes para limitar tais ataques, incluindo o uso de autenticação do usuário durante a configuração.

É importante reconhecer que a TI empresarial não enfrenta ataques aleatórios de hackers independentes, como o jovem adolescente que invadiu os sistemas da Apple – também enfrenta ataques altamente organizados de grupos com bons recursos, alguns dos quais são patrocinados pelo Estado.

Isso ocorre porque os invasores mais altamente organizados são incrivelmente sofisticados, e esse tipo de invasão complexa da rede de uma empresa parece uma rota útil para qualquer pessoa projetar um cenário de ameaça persistente avançada (APT).

Ameaças persistentes avançadas são aquelas em que invasores furtivamente entram em redes corporativas e permanecem nessas redes por um longo período para roubar dados, criar identidades falsas e subverter sistemas de computadores.

Guerras infinitas

O fato de que as explorações contra sistemas da Apple tendem a ser bastante desafiadoras ou obscuras reflete bem sobre a segurança desses sistemas, mas a complacência não é desculpa para usuários corporativos.

Eles já sabem que quase metade de todas as empresas internacionais tem sido alvo de crimes cibernéticos, e os vetores de ataque usados nesses ataques estão se tornando cada vez mais complexos.

O recente aumento nos ataques contra o Office 365 reflete uma tendência recente em que criminosos tentam usar APIs de serviço de nuvem para criar rotas complexas para subverter a segurança corporativa.

A ameaça “Dark Caracal”, que é relativamente recente, ataca sistemas Mac, Linux e Windows de diferentes maneiras, tudo dentro de um malware multiplataforma.

No caso da falha no Registro de dispositivos Apple, identificada pelo Duo Security, as soluções são relativamente diretas:

• Mantenha os números de série privados.
• Monitore redes para atividades incomuns, como os sinais de ataques de força bruta.
• Aplique a autenticação em qualquer servidor MDM usado com o DEP.
• Também vale a pena adotar uma abordagem de confiança zero para dispositivos recém-registrados, atribuindo privilégios em uma operação separada para a configuração inicial. O uso de soluções de MDM mais sofisticadas, como as de Jamf, também pode ajudar.

No entanto, em um ambiente caracterizado por vários vetores de ataque e mal-intencionados altamente sofisticados, a boa prática de segurança exige a suplementação da melhor segurança de plataforma do mundo, com conscientização de segurança informada e vigilância constante.