especialistas MorphiSec encontró que los operadores de BitPaymer ransomware utilizan la vulnerabilidad 0-day en iTunes para Windows para distribuir su malware, lo que les permite engañar soluciones anti-virus en huéspedes infectados.
Tl problema fue descubierto después de estudiar el ataque a una empresa no identificada industria del automóvil que sufrió de BitPaymer en agosto de este año.“Hemos identificado el abuso de un Apple vulnerabilidad de día cero en la utilidad de actualización de software de Apple que viene con iTunes para Windows. Windows explotar es importante tener en cuenta dado que Apple está Sunsetting iTunes para Mac con el lanzamiento de macOS Catalina esta semana, mientras que los usuarios de Windows todavía tendrá que depender de iTunes en el futuro previsible”, - Informe de expertos MorphiSec.
Los ingenieros de Apple ya han solucionado el problema mediante la introducción de versiones actualizadas de iTunes para Windows y iCloud para Windows Esta semana.
La raíz de la vulnerabilidad fue el componente de actualización Bonjour, que viene con ambos productos.
Los cibercriminales de errores permitidos para poner en marcha Bonjour, y luego interferir con su operación, forjar la ruta de ejecución de forma que señalara a BitPaymer, en lugar de los archivos necesarios. A pesar de que esta vulnerabilidad no permite la obtención de derechos de administrador, ayudó con éxito para engañar al software protegido localmente instalado.
“Los adversarios abusa de una vulnerabilidad ruta no indicada. La vulnerabilidad ruta no indicada rara vez se ve en la naturaleza, sin embargo, es un error conocido que ha sido previamente identificados por otros proveedores por más de 15 años. Está documentado tan a fondo que se puede esperar programadores ser conscientes de la vulnerabilidad. Pero eso no es ese caso, y esto de día cero Apple es la evidencia”, - escriben los investigadores MorphiSec.
Actualización de software de Apple, el mecanismo que Apple utiliza para entregar actualizaciones futuras, incluye uno de estos caminos sin comillas.
Solución:
Al mismo tiempo, los investigadores advierten que la simple actualización de iTunes para Windows y iCloud para Windows puede no ser suficiente. El hecho es que el componente Bonjour permanece instalado en Windows, incluso después de iTunes o iCloud para Windows está completamente desinstalado.
leer también: Los investigadores dicen sobre el crecimiento de la actividad de TFlower, otra ransomware que utiliza RDP
Es decir, los usuarios que antes utilizaban estas aplicaciones, pero luego ellos borrado, siguen siendo vulnerables a un nuevo máximo vulnerabilidad 0-day. Para solucionar el problema, tendrá que eliminar ya sea manualmente Bonjour, o instalar la última, versión segura de iTunes para Windows para actualizar con precisión la versión antigua del componente.
