Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-16 17:58:21 +00:00

Translator workflow e90c803209 Translated to Japanese

2023-07-07 23:42:27 +00:00

17 KiB

Raw Blame History

macOS MDM

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

あなたはサイバーセキュリティ企業で働いていますか？ HackTricksであなたの会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
公式のPEASS＆HackTricks swagを手に入れましょう
💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm.
ハッキングのトリックを共有するために、hacktricks repo および hacktricks-cloud repoにPRを提出してください。

基本

MDM（モバイルデバイス管理）とは何ですか？

モバイルデバイス管理（MDM）は、モバイル電話、ノートパソコン、デスクトップ、タブレットなどのエンドユーザーコンピューティングデバイスを管理するために一般的に使用される技術です。AppleのiOS、macOS、tvOSなどのプラットフォームの場合、特定の機能、API、および技術を指し、管理者がこれらのデバイスを管理するために使用します。MDMを介したデバイスの管理には、商用またはオープンソースの互換性のあるMDMサーバーが必要で、MDMプロトコルのサポートを実装しています。

集中的なデバイス管理を実現する方法
MDMプロトコルのサポートを実装したMDMサーバーが必要
MDMサーバーは、リモートワイプや「この設定をインストールする」といったMDMコマンドをデバイスに送信できる

基本 DEP（デバイス登録プログラム）とは何ですか？

デバイス登録プログラム（DEP）は、Appleが提供するサービスで、iOS、macOS、tvOSデバイスのモバイルデバイス管理（MDM）登録をゼロタッチ構成で簡素化します。デバイスを構成するためにエンドユーザーまたは管理者がアクションを起こす必要がある従来の展開方法とは異なり、またはMDMサーバーに手動で登録する必要がある場合とは異なり、DEPはこのプロセスをブートストラップし、新しいAppleデバイスを開封してすぐに組織で使用できるようにします。

管理者はDEPを活用して、デバイスを組織のMDMサーバーに自動的に登録できます。デバイスが登録されると、多くの場合、組織が所有する「信頼された」デバイスとして扱われ、証明書、アプリケーション、WiFiパスワード、VPN設定などのいずれかの数を受け取ることができます。

デバイスが初めて電源を入れたときに自動的に事前に設定されたMDMサーバーに登録することができる
デバイスが新品の場合に最も有用
OSの新規インストールで消去された場合にも有用

{% hint style="danger" %} 残念ながら、組織がMDM登録を保護するための追加の手順を踏んでいない場合、DEPを介した簡素化されたエンドユーザーの登録プロセスは、攻撃者が組織のMDMサーバーに選択したデバイスを登録するための簡素化されたプロセスを意味することができます。 {% endhint %}

基本 SCEP（シンプル証明書登録プロトコル）とは何ですか？

TLSとHTTPSが普及する前に作成された比較的古いプロトコル
クライアントが証明書を取得するための証明書署名リクエスト（CSR）を送信するための標準化された方法を提供します。クライアントは、サーバーに署名された証明書を与えるように依頼します。

設定プロファイル（mobileconfigs）とは何ですか？

Appleの公式な方法で、システムの設定/強制を行う方法です。
複数のペイロードを含むファイル形式です。
プロパティリスト（XML形式）に基づいています。
「その起源を検証し、整合性を確保し、内容を保護するために署名と暗号化することができます。」Basics — Page 70, iOS Security Guide, January 2018.

プロトコル

MDM

APNs（Appleサーバー）+ RESTful API（MDMベンダーサーバー）の組み合わせ
デバイスとデバイス管理製品に関連するサーバー間の通信
MDMからデバイスにplistエンコードされた辞書形式のコマンドを送信
すべてHTTPSで行われます。MDMサーバーは（通常）ピン留めされています。
AppleはMDMベンダーにAPNs証明書を発行します（認証に使用）

DEP

3つのAPI：リセラー用、MDMベンダー用、デバイスID用（非公開）：
いわゆるDEP「クラウドサービス」API。これは、MDMサーバーがDEPプロファイルを特定のデバイスに関連付けるために使用されます。
Apple認定リセラーが使用するDEP API。デバイスの登録、登録状況の確認、トランザクション状況の確認に使用されます。
非公開のプライベートDEP API。これは、Appleデバイ

シリアル番号

2010年以降に製造されたAppleデバイスは、一般的には12文字の英数字のシリアル番号を持ちます。最初の3桁は製造場所を表し、続く2桁は製造年と週を示し、次の3桁は一意の識別子を提供し、最後の4桁はモデル番号を表します。

{% content-ref url="macos-serial-number.md" %} macos-serial-number.md {% endcontent-ref %}

登録と管理の手順

デバイスレコードの作成（販売業者、Apple）：新しいデバイスのレコードが作成されます。
デバイスレコードの割り当て（顧客）：デバイスがMDMサーバーに割り当てられます。
デバイスレコードの同期（MDMベンダー）：MDMはデバイスレコードを同期し、DEPプロファイルをAppleにプッシュします。
DEPチェックイン（デバイス）：デバイスがDEPプロファイルを取得します。
プロファイルの取得（デバイス）
プロファイルのインストール（デバイス）a. MDM、SCEP、およびルートCAのペイロードを含む
MDMコマンドの発行（デバイス）

/Library/Developer/CommandLineTools/SDKs/MacOSX10.15.sdk/System/Library/PrivateFrameworks/ConfigurationProfiles.framework/ConfigurationProfiles.tbdファイルは、登録プロセスの**高レベルな「ステップ」**と見なすことができる関数をエクスポートしています。

ステップ4：DEPチェックイン - アクティベーションレコードの取得

このプロセスのこの部分は、ユーザーがMacを初めて起動したとき（または完全なワイプ後）に発生します。

または、sudo profiles show -type enrollmentを実行したとき

デバイスがDEP対応かどうかを判断する
アクティベーションレコードは、DEPの「プロファイル」の内部名です。
デバイスがインターネットに接続されるとすぐに開始されます。
**CPFetchActivationRecord**によって駆動されます。
**cloudconfigurationdによって実装されます。デバイスが初めて起動されるときの「セットアップアシスタント」またはprofiles**コマンドは、このデーモンに接触してアクティベーションレコードを取得します。
LaunchDaemon（常にrootとして実行）

**MCTeslaConfigurationFetcher**によって実行されるアクティベーションレコードの取得には、Absintheと呼ばれる暗号化が使用されます。

証明書の取得
https://iprofiles.apple.com/resource/certificate.cerにGETリクエストを送信
証明書から状態を初期化（NACInit）
IOKitを介したデバイス固有のデータ（例：シリアル番号）を使用
セッションキーの取得
https://iprofiles.apple.com/sessionにPOSTリクエストを送信
セッションの確立（NACKeyEstablishment）
リクエストの作成
https://iprofiles.apple.com/macProfileにデータ{ "action": "RequestProfileConfiguration", "sn": "" }を送信するPOSTリクエスト
JSONペイロードはAbsintheを使用して暗号化されます（NACSign）
すべてのリクエストはHTTPs経由で行われ、組み込みのルート証明書が使用されます

応答は、以下のような重要なデータを含むJSON辞書です。

url：アクティベーションプロファイルのMDMベンダーホストのURL
anchor-certs：信頼されたアンカーとして使用されるDER証明書の配列

ステップ5：プロファイルの取得

DEPプロファイルで提供されたURLにリクエストが送信されます。
アンカー証明書が提供された場合、信頼性を評価するために使用されます。
リマインダー：DEPプロファイルのanchor_certsプロパティ
リクエストは、デバイスの識別情報（例：UDID、OSバージョン）を含む単純な.plistです。
CMSで署名され、DERでエンコードされています。
デバイスのアイデンティティ証明書（APNSから）を使用して署名されています。
証明書チェーンには、期限切れのApple iPhone Device CAが含まれています。

ステップ6：プロファイルのインストール

取得したプロファイルは、システムに保存されます。
このステップは自動的に開始されます（セットアップアシスタントの場合）。
**CPInstallActivationProfile**によって駆動されます。
mdmclientを介して実装されます（XPCを使用）。
LaunchDaemon（rootとして実行）またはLaunchAgent（ユーザーとして実行）によって実行される場合があります。
構成プロファイルには、複数のペイロードをインストールするためのプラグインベースのアーキテクチャがあります。
各ペイロードタイプはプラグインに関連付けられています。
XPC（フレームワーク内）またはクラシックなCocoa（ManagedClient.app内）である場合があります。
例：
証明書ペイロードはCertificateService.xpcを使用します。

通常、MDMベンダーによって提供されるアクティベーションプロファイルには、次のペイロードが含まれています。

com.apple.mdm：デバイスをMDMに登録するためのもの
com.apple.security.scep：デバイスにクライアント証明書を安全に提供するためのもの。
com.apple.security.pem：デバイスのシステムキーチェーンに信頼されたCA証明書をインストールするためのもの。
ドキュメントのMDMチェックインに相当するMDMペイロードのインストール
ペイロードには以下のキーのプロパティが含まれます：
MDMチェックインURL（CheckInURL）
MDMコマンドポーリングURL（ServerURL）+ トリガーするためのAPNsトピック
MDMペイロードをインストールするために、リクエストは**CheckInURL**に送信されます。
**mdmclient**で実装されています。
MDMペイロードは他のペイロードに依存することができます。
特定の証明書にリクエストを固定することができます：
プロパティ：CheckInURLPinningCertificateUUIDs
プロパティ：ServerURLPinningCertificateUUIDs
PEMペイロードを介して配信されます
デバイスにアイデンティテ

ステップ7: MDMコマンドの受信

MDMのチェックインが完了した後、ベンダーはAPNsを使用してプッシュ通知を発行できる
受信後、**mdmclient**が処理する
MDMコマンドをポーリングするために、ServerURLにリクエストが送信される
以前にインストールされたMDMペイロードを使用する:
リクエストのピン留めには**ServerURLPinningCertificateUUIDs**を使用
TLSクライアント証明書には**IdentityCertificateUUID**を使用

攻撃

他の組織にデバイスを登録する

以前にコメントしたように、デバイスを組織に登録するためには、その組織に所属するシリアル番号のみが必要です。デバイスが登録されると、複数の組織が新しいデバイスに機密データをインストールします: 証明書、アプリケーション、WiFiパスワード、VPNの設定など。
したがって、登録プロセスが正しく保護されていない場合、これは攻撃者にとって危険なエントリーポイントとなり得ます。

{% content-ref url="enrolling-devices-in-other-organisations.md" %} enrolling-devices-in-other-organisations.md {% endcontent-ref %}

参考文献