安全研究人员发现黑客利用Windows版iTunes及iCloud for Windows中的零时差攻击漏洞,躲过防毒软件侦测、对Windows PC用户散布勒索程序BitPaymer。
安全公司Morphisec Labs首先在8月发现BitPaymer感染一家汽车制造商。BitPaymer在7月间被侦测到在美国感染15家企业。但本波攻击中,这只勒索程序使用的路径是一个"不带引号的服务路径(Unquoted service Path)"零时差漏洞,存在于Windows版iTunes及iCloud for Windows的BonjourUpdater软件元件中。
研究人员指出,这类漏洞是物件导向程序开发中常见的错误,有时开发人员以为服务路径派发变项时,只使用String型态的变量就够了,但实际上路径还需要加上引号(quote)标示,如""。攻击者可以用恶意档案来置换原有可执行档,这类漏洞过去在VPN软件研究很知名,因为它出现在具管理员权限的服务或其他行程,可被用以发动权限升级攻击,但并未被广为使用。
MorphiSec发现黑客界利用苹果Bonjour Updater来攻击这项漏洞。BonjourUpdater是包含在苹果app中用于下载更新的机制,包括iTunes。但它有自己独特的安装入口和执行作业排程。鲜为人知的是,移除iTunes并不会同时移除Bonjour,它必须分开移除。因此许多企业电脑即使多年前移除了iTunes,电脑上还有未更新,但仍持续背景运作的Bonjour。
Bonjour属于合法行程,通常会被安全软件如防毒程序扫瞄引擎忽略,使其下恶意子行程,也不会触发警告,像是MorphiSec这次发现的BitPaymer。
mac版iTunes已随着最新的macOS Catalina释出退役,Windows版iTunes,以及Windows版iCloud app用户是这项漏洞及BitPaymer的高风险群。在MorphiSec向苹果通报后,苹果已经发布修补漏洞的Windows版iTunes 12.10.1及iCloud for Windows 10.7。
由于已有攻击发生中,安全公司也呼吁用户尽速升级到最新版程序及防毒软件。
资料来源:iThome Security