Apple iTunes e iCloud per Windows: 0-day sfruttati negli attacchi ransomware

Condividi:

Attenzione utenti di Windows che utilizzate iTunes e iCloud: c’è un gruppo criminale dietro gli attacchi ransomware BitPaymer e iEncrypt, che sfruttano una vulnerabilità 0-day di Bonjour, un componente poco conosciuto fornito nel pacchetto di applicazioni Apple iTunes e iCloud. Non essendo nota la vulnerabilità, si riesce quindi a eludere i controlli degli antivirus.

Bonjour fa il suo lavoro in background e automatizza varie attività di rete di programmate e non prioritarie, incluso il download automatico dei futuri aggiornamenti per il software Apple.

Bonjour non si disinstalla con iTunes o iCloud

Poiché il programma di aggiornamento Bonjour viene installato come programma separato, la disinstallazione di iTunes e iCloud non rimuove Bonjour: è questo il motivo per cui è rimasto installato su molti computer Windows.

Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!

Quando è stata scoperta la vulnerabilità in Apple iTunes e iCloud per Windows

I ricercatori di Cybersecurity del Morphisec Labs hanno scoperto lo sfruttamento della vulnerabilità zero-day in agosto, quando gli aggressori hanno preso di mira un’impresa nell’industria automobilistica (il cui nome non è stato reso noto) attraverso il ransomware BitPaymer.

Come nasce la vulnerabilità

Il componente Bonjour è stato trovato vulnerabile a un difetto di sicurezza del software che si verifica quando il percorso di un eseguibile contiene spazi nel nome file e non è racchiuso tra tag di virgolette (“”).

La vulnerabilità può essere sfruttata installando un file eseguibile dannoso sul percorso principale, inducendo le applicazioni legittime e attendibili a eseguire programmi dannosi eludendo i controlli.

In questo scenario, Bonjour stava cercando di eseguire le attività, ma a causa del problema nel percorso, ha invece eseguito il ransomware BitPaymer“, hanno detto i ricercatori.

Poiché molte soluzioni di sicurezza si basano sul monitoraggio del comportamento, la catena di esecuzione del processo (genitore-figlio) svolge un ruolo importante in un allerta. Se un processo legittimo firmato da un fornitore noto esegue un nuovo processo figlio dannoso, si avrà un punteggio di allerta inferiore rispetto a quello se il genitore non fosse firmato da un fornitore noto“.

In poche parole, si sfrutta il fatto che il software Bonjour è firmato e conosciuto: l’avversario lo usa a proprio vantaggio perché (teoricamente) ciò che viene eseguito da Bonjour dovrebbe essere affidabile.

Altro problema: aumento dei privilegi per l’hacker

Oltre a sfuggire alla rilevazione, in alcuni casi, la vulnerabilità del percorso di servizio potrebbe anche essere sfruttata per aumentare i privilegi.

In questo caso particolare, il 0-day di cui è vittima Bonjour, pur non potendo dare il permesso al ransomware BitPaymer di ottenere i diritti da amministratore di sistema sui computer infetti, consente tuttavia al malware di eludere i controlli basati sul monitoraggio del comportamento perché, come già scritto, il componente Bonjour appare come un processo legittimo.

Rilascio di patch di sicurezza (iTunes / iCloud per Windows)

Immediatamente dopo aver scoperto l’attacco, i ricercatori di Morphisec Labs hanno condiviso i dettagli dell’attacco con Apple, che in data 9 ottobre 2019 ha rilasciato iCloud per Windows 10.7, iCloud per Windows 7.14 e iTunes 12.10.1 per Windows, con lo scopo di affrontare la vulnerabilità.

Cosa fare quindi? Gli utenti Windows che hanno iTunes e iCloud installati sul proprio sistema sono caldamente invitati ad aggiornare il loro software alle ultime versioni.

Nel caso in cui tu abbia installato uno di questi software Apple sul tuo computer Windows e poi lo abbia disinstallato, dovresti controllare l’elenco delle applicazioni installate sul tuo sistema per poter disinstallare manualmente Bonjour.

Interessato a un’analisi di cyber security? Chiedi aiuto a Noi Sicurezza:

CHIEDI INFORMAZIONI
Condividi:

Seguici, non perdere nessun articolo!

Articoli recenti

Archivi

Categorie

Piervittorio Allevi Written by:

Be First to Comment

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *