Windows版iTunes零时差漏洞遭用以散布BitPaymer勒索软件
文/林妍溱 | 2019-10-11发表
安全研究人员发现骇客利用Windows版iTunes及iCloud for Windows中的零时差攻击漏洞
,躲过防毒软件侦测、对Windows PC用户散布勒索程式BitPaymer。
安全公司Morphisec Labs首先在8月发现BitPaymer感染一家汽车制造商。BitPaymer在7月
间被侦测到在美国感染15家企业。但本波攻击中,这只勒索程式使用的路径是一个“不带
引号的服务路径(Unquoted service Path)”零时差漏洞,存在于Windows版iTunes及
iCloud for Windows的Bonjour Updater软件元件中。
研究人员指出,这类漏洞是物件导向程式开发中常见的错误,有时开发人员以为服务路径
派发变项时,只使用String型态的变量就够了,但实际上路径还需要加上引号(quote)
标示,如"\\"。攻击者可以用恶意档案来置换原有可执行档,这类漏洞过去在VPN软件研
究很知名,因为它出现在具管理员权限的服务或其他行程,可被用以发动权限升级攻击,
但并未被广为使用。
MorphiSec发现骇客界利用苹果Bonjour Updater来攻击这项漏洞。Bonjour Updater是包
含在苹果app中用于下载更新的机制,包括iTunes。但它有自己独特的安装入口和执行作
业排程。鲜为人知的是,移除iTunes并不会同时移除Bonjour,它必须分开移除。因此许
多企业电脑即使多年前移除了iTunes,电脑上还有未更新,但仍持续背景运作的Bonjour
。
Bonjour属于合法行程,通常会被安全软件如防毒程式扫瞄引擎忽略,使其下恶意子行程
,也不会触发警告,像是MorphiSec这次发现的BitPaymer。
mac版iTunes已随着最新的macOS Catalina释出退役,Windows版iTunes,以及Windows 版
iCloud app用户是这项漏洞及BitPaymer的高风险群。在MorphiSec向苹果通报后,苹果已
经发布修补漏洞的Windows版iTunes 12.10.1 及 iCloud for Windows 10.7。
由于已有攻击发生中,安全公司也呼吁用户尽速升级到最新版程式及防毒软件。
https://www.ithome.com.tw/news/133574
所以未来要移除iTunes的话还是要把Bonjour的服务一起移除
但其他外媒只有说在Windows版本有这个漏洞。Mac上的旧版iTunes没有这个问题