Windows版iTunes零時差漏洞遭用以散佈BitPaymer勒索軟體
文/林妍溱 | 2019-10-11發表
安全研究人員發現駭客利用Windows版iTunes及iCloud for Windows中的零時差攻擊漏洞
,躲過防毒軟體偵測、對Windows PC用戶散佈勒索程式BitPaymer。
安全公司Morphisec Labs首先在8月發現BitPaymer感染一家汽車製造商。BitPaymer在7月
間被偵測到在美國感染15家企業。但本波攻擊中,這隻勒索程式使用的路徑是一個「不帶
引號的服務路徑(Unquoted service Path)」零時差漏洞,存在於Windows版iTunes及
iCloud for Windows的Bonjour Updater軟體元件中。
研究人員指出,這類漏洞是物件導向程式開發中常見的錯誤,有時開發人員以為服務路徑
派發變項時,只使用String型態的變數就夠了,但實際上路徑還需要加上引號(quote)
標示,如"\\"。攻擊者可以用惡意檔案來置換原有可執行檔,這類漏洞過去在VPN軟體研
究很知名,因為它出現在具管理員權限的服務或其他行程,可被用以發動權限升級攻擊,
但並未被廣為使用。
MorphiSec發現駭客界利用蘋果Bonjour Updater來攻擊這項漏洞。Bonjour Updater是包
含在蘋果app中用於下載更新的機制,包括iTunes。但它有自己獨特的安裝入口和執行作
業排程。鮮為人知的是,移除iTunes並不會同時移除Bonjour,它必須分開移除。因此許
多企業電腦即使多年前移除了iTunes,電腦上還有未更新,但仍持續背景運作的Bonjour
。
Bonjour屬於合法行程,通常會被安全軟體如防毒程式掃瞄引擎忽略,使其下惡意子行程
,也不會觸發警告,像是MorphiSec這次發現的BitPaymer。
mac版iTunes已隨著最新的macOS Catalina釋出退役,Windows版iTunes,以及Windows 版
iCloud app用戶是這項漏洞及BitPaymer的高風險群。在MorphiSec向蘋果通報後,蘋果已
經發佈修補漏洞的Windows版iTunes 12.10.1 及 iCloud for Windows 10.7。
由於已有攻擊發生中,安全公司也呼籲用戶儘速升級到最新版程式及防毒軟體。
https://www.ithome.com.tw/news/133574
所以未來要移除iTunes的話還是要把Bonjour的服務一起移除
但其他外媒只有說在Windows版本有這個漏洞。Mac上的舊版iTunes沒有這個問題