安全研究人員發現駭客利用Windows版iTunes及iCloud for Windows中的零時差攻擊漏洞,躲過防毒軟體偵測、對Windows PC用戶散佈勒索程式BitPaymer。

安全公司Morphisec Labs首先在8月發現BitPaymer感染一家汽車製造商。BitPaymer在7月間被偵測到在美國感染15家企業。但本波攻擊中,這隻勒索程式使用的路徑是一個「不帶引號的服務路徑(Unquoted service Path)」零時差漏洞,存在於Windows版iTunes及iCloud for Windows的Bonjour Updater軟體元件中。

研究人員指出,這類漏洞是物件導向程式開發中常見的錯誤,有時開發人員以為服務路徑派發變項時,只使用String型態的變數就夠了,但實際上路徑還需要加上引號(quote)標示,如"\\"。攻擊者可以用惡意檔案來置換原有可執行檔,這類漏洞過去在VPN軟體研究很知名,因為它出現在具管理員權限的服務或其他行程,可被用以發動權限升級攻擊,但並未被廣為使用。

MorphiSec發現駭客界利用蘋果Bonjour Updater來攻擊這項漏洞。Bonjour Updater是包含在蘋果app中用於下載更新的機制,包括iTunes。但它有自己獨特的安裝入口和執行作業排程。鮮為人知的是,移除iTunes並不會同時移除Bonjour,它必須分開移除。因此許多企業電腦即使多年前移除了iTunes,電腦上還有未更新,但仍持續背景運作的Bonjour。

Bonjour屬於合法行程,通常會被安全軟體如防毒程式掃瞄引擎忽略,使其下惡意子行程,也不會觸發警告,像是MorphiSec這次發現的BitPaymer。

mac版iTunes已隨著最新的macOS Catalina釋出退役,Windows版iTunes,以及Windows 版iCloud app用戶是這項漏洞及BitPaymer的高風險群。在MorphiSec向蘋果通報後,蘋果已經發佈修補漏洞的Windows版iTunes 12.10.1iCloud for Windows 10.7

由於已有攻擊發生中,安全公司也呼籲用戶儘速升級到最新版程式及防毒軟體。


Advertisement

更多 iThome相關內容