Apple iTunes e iCloud para Windows são explorados em uma vulnerabilidade de dia zero que afeta um componente pouco conhecido

Cuidado com os usuários do Windows!

O grupo de criminosos cibernéticos por trás dos ataques de ransomware BitPaymer e iEncrypt foi encontrado explorando uma vulnerabilidade de dia zero que afeta um componente pouco conhecido que acompanha o iTunes e o software iCloud da Apple para Windows, para evitar a detecção de antivírus.

O componente vulnerável em questão é o atualizador Bonjour , uma implementação de configuração zero do protocolo de comunicação de rede que funciona silenciosamente em segundo plano e automatiza várias tarefas de rede de baixo nível, incluindo o download automático das futuras atualizações do software da Apple.

Observe que, como o atualizador Bonjour é instalado como um programa separado no sistema, a desinstalação do iTunes e do iCloud não remove o Bonjour, e é por isso que ele acabou sendo instalado em muitos computadores Windows – sem atualização e silenciosamente em segundo plano.

Pesquisadores de segurança cibernética do Morphisec Labs descobriram a exploração da vulnerabilidade de dia zero Bonjour em agosto, quando os atacantes atacaram uma empresa não identificada na indústria automotiva, o BitPaymer ransomware.

Vulnerabilidade de caminho de serviço não citado no serviço Bonjour da Apple

O componente Bonjour foi considerado vulnerável à vulnerabilidade do caminho de serviço não citado, uma falha de segurança de software comum que ocorre quando o caminho de um executável contém espaços no nome do arquivo e não está entre aspas (“”).

A vulnerabilidade de caminho de serviço não citado pode ser explorada plantando um arquivo executável mal-intencionado no caminho pai, enganando aplicativos legítimos e confiáveis ​​para executar programas maliciosos para manter a persistência e evitar a detecção.

“Nesse cenário, Bonjour estava tentando executar a partir da pasta Arquivos de Programas, mas, devido ao caminho não citado, executou o ransomware BitPaymer desde que recebeu o nome de Programa”, disseram os pesquisadores .

 

“Como muitas soluções de detecção são baseadas no monitoramento do comportamento, a cadeia de execução do processo (pai-filho) desempenha um papel importante na fidelidade do alerta. Se um processo legítimo assinado por um fornecedor conhecido executar um novo processo filho mal-intencionado, um alerta associado terá uma pontuação de confiança mais baixa do que seria se o pai não fosse assinado por um fornecedor conhecido “.

 

“Desde que Bonjour é assinado e conhecido, o adversário usa isso a seu favor.”

Além de escapar da detecção, em alguns casos, a vulnerabilidade do caminho de serviço não citado também pode ser abusada para aumentar privilégios quando o programa vulnerável tem o direito de executar sob privilégios mais altos.

No entanto, nesse caso específico, o dia zero do Bonjour não permitiu que o ransomware BitPaymer ganhasse direitos de SISTEMA nos computadores infectados. Mas permitiu que o malware evitasse soluções comuns de detecção baseadas no monitoramento de comportamento, porque o componente Bonjour parece um processo legítimo.

Patches de segurança lançados (iTunes / iCloud para Windows)

Imediatamente após descobrir o ataque, os pesquisadores do Morphisec Labs compartilharam com responsabilidade os detalhes do ataque com a Apple, que lançou ontem o iCloud para Windows 10.7 , o iCloud para Windows 7.14 e o iTunes 12.10.1 para Windows para solucionar a vulnerabilidade.

Recomenda-se aos usuários do Windows que possuem o iTunes ou / e o iCloud instalado em seus sistemas que atualizem seu software para as versões mais recentes.

Caso você já tenha instalado um desses softwares da Apple no seu computador com Windows e depois o tenha desinstalado, verifique a lista de aplicativos instalados no seu sistema para o atualizador Bonjour e desinstale-o manualmente.