安全研究人员发现黑客利用Windows版iTunes及iCloud for Windows中的零时差攻击漏洞,躲过杀毒软件侦测、对Windows PC用户传播勒索程序BitPaymer。
安全公司Morphisec Labs首先在8月发现BitPaymer感染一家汽车制造商。BitPaymer在7月间被侦测到在美国感染15家企业。但本波攻击中,这只勒索程序使用的路径是一个“不带引号的服务路径(Unquoted service Path)”零时差漏洞,存在于Windows版iTunes及iCloud for Windows的Bonjour Updater软件组件中。
研究人员指出,这类漏洞是面向对象程序开发中常见的错误,有时开发人员以为服务路径派发变项时,只使用String形态的变量就够了,但实际上路径还需要加上引号(quote)标示,如”\\”。攻击者可以用恶意文件来置换原有可执行文件,这类漏洞过去在VPN软件研究很知名,因为它出现在具管理员权限的服务或其他行程,可被用以发动权限升级攻击,但并未被广为使用。
MorphiSec发现黑客界利用苹果Bonjour Updater来攻击这项漏洞。Bonjour Updater是包含在苹果app中用于下载更新的机制,包括iTunes。但它有自己独特的安装入口和执行作业调度。鲜为人知的是,移除iTunes并不会同时移除Bonjour,它必须分开移除。因此许多企业计算机即使多年前移除了iTunes,计算机上还有未更新,但仍持续后台运行的Bonjour。
Bonjour属于合法行程,通常会被安全软件如杀毒程序扫瞄引擎忽略,使其下恶意子行程,也不会触发警告,像是MorphiSec这次发现的BitPaymer。
mac版iTunes已随着最新的macOS Catalina发布退役,Windows版iTunes,以及Windows版iCloud app用户是这项漏洞及BitPaymer的高风险群。在MorphiSec向苹果通报后,苹果已经发布修补漏洞的Windows版iTunes 12.10.1及iCloud for Windows 10.7。
由于已有攻击发生中,安全公司也呼吁用户尽快升级到最新版程序及杀毒软件。