Windows版iTunes零時差漏洞遭用來傳播勒索軟體
安全研究人員發現黑客利用Windows版iTunes及iCloud for Windows中的零時差攻擊漏洞,躲過殺毒軟體偵測、對Windows PC用戶傳播勒索程序BitPaymer。
安全公司Morphisec Labs首先在8月發現BitPaymer感染一家汽車製造商。BitPaymer在7月間被偵測到在美國感染15家企業。但本波攻擊中,這隻勒索程序使用的路徑是一個「不帶引號的服務路徑(Unquoted service Path)」零時差漏洞,存在於Windows版iTunes及iCloud for Windows的Bonjour Updater軟體組件中。
研究人員指出,這類漏洞是面向對象程序開發中常見的錯誤,有時開發人員以為服務路徑派發變項時,只使用String形態的變數就夠了,但實際上路徑還需要加上引號(quote)標示,如」\\」。攻擊者可以用惡意文件來置換原有可執行文件,這類漏洞過去在VPN軟體研究很知名,因為它出現在具管理員許可權的服務或其他行程,可被用以發動許可權升級攻擊,但並未被廣為使用。
MorphiSec發現黑客界利用蘋果Bonjour Updater來攻擊這項漏洞。Bonjour Updater是包含在蘋果app中用於下載更新的機制,包括iTunes。但它有自己獨特的安裝入口和執行作業調度。鮮為人知的是,移除iTunes並不會同時移除Bonjour,它必須分開移除。因此許多企業計算機即使多年前移除了iTunes,計算機上還有未更新,但仍持續後台運行的Bonjour。
Bonjour屬於合法行程,通常會被安全軟體如殺毒程序掃瞄引擎忽略,使其下惡意子行程,也不會觸發警告,像是MorphiSec這次發現的BitPaymer。
mac版iTunes已隨著最新的macOS Catalina發布退役,Windows版iTunes,以及Windows版iCloud app用戶是這項漏洞及BitPaymer的高風險群。在MorphiSec向蘋果通報後,蘋果已經發布修補漏洞的Windows版iTunes 12.10.1及iCloud for Windows 10.7。
由於已有攻擊發生中,安全公司也呼籲用戶儘快升級到最新版程序及殺毒軟體。
