| 11 октября 2019 г. — 4:02 PT
Уязвимость нулевого дня в приложениях iTunes и iCloud для Windows позволяла злоумышленникам устанавливать программы-вымогатели, не вызывая срабатывания антивирусных защит. Программы-вымогатели шифруют весь жесткий диск или SSD с помощью ключа, известного только злоумышленнику, позволяя ему требовать выкуп за расшифровку компьютера…
ArsTechnica сообщает, что эксплойт был обнаружен компанией кибербезопасности Morphisec.
Согласно сообщению в блоге, уязвимость заключалась в компоненте Bonjour, на который полагаются как iTunes, так и iCloud для Windows. Ошибка известна как «незакавыченный путь к службе», которая, как следует из названия, возникает, когда разработчик забывает заключить путь к файлу в кавычки. Когда ошибка присутствует в доверенной программе — например, подписанной известным разработчиком, таким как Apple — злоумышленники могут использовать эту лазейку для выполнения кода, который антивирусная защита в противном случае могла бы пометить как подозрительный.
По сути, ошибка в приложениях Apple означала, что злоумышленник мог заставить их запускать вредоносное приложение, в то время как антивирусное программное обеспечение не отслеживало происходящее, поскольку оно якобы выполнялось подписанными приложениями Apple и, следовательно, автоматически помечалось как безопасное.
Apple исправила уязвимость в iTunes 12.10.1 для Windows и iCloud для Windows 7.14, поэтому пользователям ПК следует проверить наличие этих обновлений. Кроме того, если вы когда-либо запускали iTunes на своем ПК, даже если позже удалили его, вы все равно можете быть в опасности.
Это связано с тем, что деинсталлятор iTunes не удаляет Bonjour автоматически.
«В большинстве случаев люди не знают, что им нужно отдельно удалять компонент Bonjour при удалении iTunes. Из-за этого на компьютерах остается установленная и работающая задача обновления. Мы были удивлены результатами расследования, которое показало, что обновление Bonjour установлено на большом количестве компьютеров в различных предприятиях. Многие компьютеры удалили iTunes много лет назад, в то время как компонент Bonjour остается незаметно, не обновленным и продолжает работать в фоновом режиме. После этого открытия мы определили поверхность атаки и мотивацию злоумышленника выбирать этот процесс для уклонения от обнаружения».
Компьютеры Mac не затронуты, независимо от версии macOS, которую вы используете. Кроме того, macOS Catalina заменяет iTunes совершенно новым приложением «Музыка».
Morphisec сообщает, что уязвимость активно использовалась для установки программы-вымогателя под названием BitPaymer. Компания сообщила о проблеме Apple и раскрыла детали только после того, как компания выпустила обновления для устранения дыры в безопасности.