Kiểu tấn công này nhắm vào máy tính Mac của những doanh nghiệp sử dụng Chương trình Đăng ký Thiết bị (Device Enrollment Program – DEP) và nền tảng Quản lý Thiết bị Di động (Mobile Device Management – MDM) của Apple. Những công cụ này cho phép nhân viên của một công ty tự thực hiện quá trình cài đặt đã tuỳ biến cho doanh nghiệp, dù họ làm việc tại nhà hay văn phòng xa trụ sở. Giải pháp này giúp công ty có thể gửi máy Mac từ kho của Apple tới nhân viên, sau đó thiết bị sẽ tự động cấu hình để tham gia hệ thống của công ty khi khởi động lần đầu tiên và kết nối wifi. DEP và MDM đòi hỏi rất nhiều quyền truy cập để đảm bảo thực hiện những công việc cần thiết trong quá trình cài đặt.

Khi Jesse Endahl, Giám đốc an ninh của Fleetsmith (công ty quản trị hệ thống dành cho doanh nghiệp dùng Mac) và Max Bélanger, kỹ sư của Dropbox, tìm thấy lỗi trong các công cụ cài đặt này, họ tìm ra cách có thể lợi dụng lỗ hổng này để chiếm quyền truy cập máy Mac từ xa. Theo Endahl, lỗ hổng này cho phép xâm phạm thiết bị và cài phần mềm độc hại ngay cả trước khi người dùng đăng nhập lần đầu tiên. Khi người dùng đăng nhập và thấy màn hình chính thì máy tính đã bị xâm phạm.

Các nhà nghiên cứu đã thông báo cho Apple và Apple đã phát hành bản vá cho macOS High Sierra 10.13.6 vào tháng trước, nhưng những thiết bị được sản xuất và chuyển đi với phiên bản hệ điều hành cũ hơn vẫn có nguy cơ bị tấn công. Bélanger và Endahl cũng nhấn mạnh rằng, những bên thứ 3 như Fleetsmith được thuê để triển khai giải pháp dành cho doanh nghiệp của Apple cũng phải hỗ trợ phiên bản 10.13.6 để đảm bảo khắc phục triệt để lỗ hổng.

Khi một chiếc máy tính Mac được bật lên và kết nối với wifi lần đầu, nó sẽ kết nối với máy chủ của Apple để kiểm tra xem với số serial này có thuộc về một cá nhân hoặc tổ chức nào không và nó phải hoạt động thế nào. Nếu số serial đó tham gia vào chương trình quản lý thiết bị DEP và MDM, lần kiểm tra đầu tiên sẽ tự động khởi tạo các bước cài đặt đã được định trước, thông qua một chuỗi các bước kiểm tra với máy chủ của Apple và máy chủ của hãng triển khai giải pháp MDM. Trong mỗi bước, hệ thống dùng kỹ thuật “ghim xác thực” (certificate pinning) để xác nhận các máy chủ web đúng là máy chủ thuộc về nhà cung cấp. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra vấn đề trong công đoạn MDM bắt tay với Cửa hàng Ứng dụng Mac App Store để tải về phần mềm doanh nghiệp. Trong bước này, danh sách phần mềm tải xuống và cài đặt không được kiểm tra bằng kỹ thuật ghim xác thực.

Nếu tin tặc đứng giữa máy chủ web của hãng triển khai giải pháp MDM và thiết bị của nạn nhân, chúng có thể thay thế danh sách phần mềm hợp lệ bằng một bản danh sách giả, dẫn dắt máy tính tải về phần mềm độc hại. Triển khai một cuộc tấn công người đứng giữa (man-in-the-middle) tinh vi như vậy sẽ rất khó khăn và tốn kém đối với tội phạm thông thường, nhưng tội phạm có tổ chức và nguồn lực lớn vẫn có thể làm được. Máy chủ chứa phần mềm độc hại cũng cần có chứng thực số hợp lệ, đây chính là một rào cản khác khiến cho cuộc tấn công trở nên khó khăn hơn. Khi vượt qua những khó khăn trên, tin tặc có thể cài đặt bất kỳ phần mềm nào trên máy tính Mac của nạn nhân. Chúng thậm chí còn có thể cài đặt công cụ độc hại để đánh giá thiết bị trong mạng của công ty, từ đó tìm ra những hệ thống dễ tấn công để lây lan. Đáng chú ý, chúng có thể nhắm tới mọi máy tính của Apple mà công ty đưa vào quy trình MDM.

Bélanger và Endahl nhấn mạnh rằng kiểu tấn công này là không dễ dàng. Họ chỉ có thể trình bày một phiên bản tấn công tại Hội thảo Black Hat, vì Endahl làm việc tại Fleetsmith nên có thể xây dựng một máy chủ có chứng thực cũng như kiểu tấn công người đứng giữa lên hệ thống MDM của công ty mình. Họ cũng có lời khen ngợi cho an toàn ứng dụng của Apple và quy trình MDM, đồng thời lưu ý rằng Apple đã tạo được tính năng tiêu diệt các phần mềm độc hại ngay sau khi phát hiện.

Kiểu tấn công này có thể được thực hiện được bởi những nhóm tin tặc có tổ chức và nguồn lực lớn. Tiềm năng của việc sử dụng kiểu tấn công này để làm bàn đạp cho những bước tiến xa hơn vào hệ thống mạng của doanh nghiệp sẽ thu hút sự chú ý đáng kể của tin tặc. Tin tặc có thể đơn giản hoá tấn công bằng cách nhắm tới những nhân viên làm việc tại nhà vì đây là những đối tượng dễ bị tấn công hơn vì sử dụng bộ định tuyến giá rẻ, dùng cho gia đình. Theo Endahl, kiểu tấn công này rất lợi hại nên các chính phủ sẽ có thể nghĩ tới việc lợi dụng nó cho các cuộc tấn công có chủ đích.

Bản vá của Apple sẽ nhanh chóng khắc phục lỗ hổng, nhưng cần lưu ý rằng ngay cả những lỗ hổng nhỏ nhất trong một hệ sinh thái phức tạp như của Apple cũng có thể dẫn tới những hậu quả nghiêm trọng.