MorphiSec specialisten gevonden dat BitPaymer ransomware operators gebruiken de kwetsbaarheid 0-day in iTunes voor Windows om hun malware te verspreiden, die hen in staat stelt om anti-virus oplossingen op geïnfecteerde hosts truc.
THij probleem werd ontdekt na het bestuderen van de aanval op een niet nader genoemde auto-industrie onderneming die in augustus van dit jaar leed aan BitPaymer.“We hebben het misbruik van een Apple zero-day kwetsbaarheid in het hulpprogramma Apple Software Update, dat wordt geleverd met iTunes voor Windows geïdentificeerd. De Windows-exploit is belangrijk op te merken gegeven Apple is sunsetting iTunes voor Macs met de release van MacOS Catalina deze week, terwijl Windows-gebruikers zullen nog steeds moeten kunnen vertrouwen op iTunes voor de nabije toekomst”, - verslag MorphiSec experts.
De technici van Apple hebben al het probleem opgelost door de invoering van bijgewerkte versies van iTunes voor Windows En iCloud voor Windows Deze week.
De wortel van het probleem was de Bonjour-update component, die wordt geleverd met beide producten.
De bug toegestaan cybercriminelen Bonjour lanceren, en dan interfereren met de werking ervan, smeden het executiepad zodat zij gewezen op BitPaymer, in plaats van de benodigde bestanden. Hoewel dit beveiligingslek niet toestond het verkrijgen van beheerdersrechten, het met succes geholpen om de geïnstalleerde lokaal beschermde software te misleiden.
“De vijanden misbruikt een genoteerde kwetsbaarheid baan. De kwetsbaarheid van de niet-genoteerde pad is zelden gezien in het wild, toch is het een algemeen bekend probleem dat eerder is geïdentificeerd door andere leveranciers ruim 15 jaar. Het is zo goed gedocumenteerd dat je zou verwachten programmeurs in staat om goed op de hoogte van het probleem zijn. Maar dat is niet dat geval, en deze Apple zero-day is bewijs”, - schrijf MorphiSec onderzoekers.
Apple software update, het mechanisme dat Apple gebruikt om toekomstige updates te leveren, omvat één van deze paden zonder aanhalingstekens.
Oplossing:
Tegelijkertijd, onderzoekers waarschuwen dat gewoon updaten iTunes voor Windows en iCloud voor Windows niet genoeg kan zijn. Het feit is dat de Bonjour component blijft geïnstalleerd op Windows, zelfs na iTunes of iCloud voor Windows is volledig verwijderd.
Lees ook: Onderzoekers zeggen over het kweken van activiteit van TFlower, andere ransomware dat RDP gebruikt
Dat is, gebruikers die eerder deze toepassingen gebruikt, maar dan verwijderde hen, nog steeds kwetsbaar voor een frisse 0-day kwetsbaarheid. Het probleem oplossen, moet u handmatig te verwijderen Bonjour, of installeer de nieuwste, veilige versie van iTunes voor Windows om nauwkeurig te actualiseren van de oude versie van de component.
