Beheer

Security
Apple iMacs (groot en klein)

'Gekoppelde iMacs gevaar voor bedrijven'

Bedrijfsinterne authenticatie voor Mac-updates zou onveilig zijn.

Apple flatscreen iMacs © Apple
8 augustus 2011

Bedrijfsinterne authenticatie voor Mac-updates zou onveilig zijn.

Volgens onderzoekers van iSec Partners maken grote aantallen gekoppelde iMacs ondernemingen kwetsbaar voor zogeheten 'advanced persistent threats', APT's. De authenticatie routine van de OS X-server die beheerders gebruiken om updates te distribueren is 'inherent onveilig' stelde iSec op de Black Hat conferentie in Las Vegas.

iSec gaat ervan uit dat een klein percentage medewerkers in elke grote organisatie ertoe overgehaald kan worden om malware te installeren, ongeacht welk platform ze gebruiken. In het geval van iMac-gebruikers schuilt een extra probleem in de OS X-server waarmee beheerders updates naar grote aantallen iMacs sturen. De authenticatieprocedure van deze server is volgens iSec inherent onveilig. Daardoor kan een geïnfecteerde iMac andere iMacs in het netwerk in gevaar brengen.

De authenticatiemethode die Apple toepast in de OS X server heet DHX en is eenvoudig te omzeilen. Er is een veel veiliger algoritme beschikbaar voor autenticatie van Macs op een lokaal netwerk, Kerberos, maar volgens iSec is het niet moeilijk de OS X-server te dwingen terug te gaan naar Apples eigen onveilige protocol.

Op de Black Hat conferentie toonden ze de kwetsbaarheid aan. Een iMac in een LAN wacht tot een andere machine, waar OS X server op draait, contact legt. Zodra dat is gebeurd worden alle authenticatiegegevens gekopieerd. Vervolgens worden alle iMacs in het lokale netwerk benaderd, terwijl de machine zich voordoet als de OS X server van de beheerder. Als de machines in het netwerk reageren is het mogelijk de data op deze machines te ontvreemden.

 

"Als we in een grote onderneming deze tool op een Mac draaien, hebben we binnen enkele minuten tientallen of honderden wachtwoorden te pakken," zei Alex Stamos, CTO van iSec. Stamos hekelde ook het ontbreken van 'channel binding', waarbij een authenticatie-contact tussen twee machines geldt voor de duur van de transactie die erop volgt.

Stamos zei dat iMacs prima zijn, zolang ze als eilandjes draaien. "Wanneer ze allemaal aan elkaar worden gekoppeld, zijn ze meteen een stuk minder veilig."

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.