Angribere udnyttet en 0-dages iTunes sårbarhed til at sprede ransomware

MorphiSec specialister fundet at BitPaymer ransomware operatører bruger 0-dages sårbarhed i iTunes til Windows til at distribuere deres malware, som giver dem mulighed for at narre anti-virus løsninger på inficerede værter.

Than problemet blev opdaget efter at have studeret angrebet på en unavngiven bilindustrien virksomhed, der led af BitPaymer i august i år.

”Vi har identificeret misbrug af en Apple zero-day sårbarhed i hjælpeprogrammet Apple Software Update, der kommer pakket med iTunes til Windows. Windows udnytter er vigtigt at bemærke givet Apple sunsetting iTunes til Mac-computere med udgivelsen af ​​MacOS Catalina denne uge, mens Windows-brugere vil stadig nødt til at stole på iTunes for en overskuelig fremtid”, - rapport MorphiSec eksperter.

Apples ingeniører har allerede løst problemet ved at indføre opdaterede versioner af iTunes til Windows og iCloud til Windows Denne uge.

Roden af ​​sårbarheden var Bonjour opdateringskomponenten, som kommer med begge produkter.

Fejlen tilladt cyberkriminelle at lancere Bonjour, og derefter forstyrrer maskinens funktion, smedning udførelsen stien, så den pegede på BitPaymer, i stedet for de nødvendige filer. Selvom denne sårbarhed ikke tillod at få administratorrettigheder, det med succes været med til at bedrage den installeret lokalt beskyttede software.

”De modstandere misbrugte et unoteret sti sårbarhed. Den unoteret sti sårbarhed er sjældent set i naturen, alligevel er det et velkendt bug, der tidligere er blevet identificeret af andre leverandører for mere end 15 flere år. Det er så grundigt dokumenteret, at du ville forvente programmører at være klar over sårbarheden. Men det er ikke så fald, og Apple zero-day er beviser”, - skriv MorphiSec forskere.

Apple Software Update, den mekanisme, som Apple bruger til at levere fremtidige opdateringer, omfatter en af ​​disse veje uden anførselstegn.

Løsning:

På samme tid, Forskerne advarer om, at blot opdatere iTunes til Windows og iCloud til Windows kan ikke være nok. Faktum er, at Bonjour komponenten forbliver installeret på Windows selv efter iTunes eller iCloud til Windows er helt afinstalleret.

Læs også: Forskere siger om stigende aktivitet TFlower, en anden ransomware der bruger RDP

Det er, brugere, som tidligere anvendte disse applikationer, men derefter slettet dem, er stadig sårbar over for en frisk 0-dags sårbarhed. For at løse problemet, du bliver nødt til enten at fjerne Bonjour manuelt, eller installere den nyeste, sikker version af iTunes til Windows til præcist at opdatere den gamle version af komponenten.

Polina Lisovskaya

Jeg har arbejdet som marketingchef i årevis nu og elsker at søge efter interessante emner for dig

Efterlad et Svar

Tilbage til toppen knap