Windows版iTunes零時差漏洞遭用以散佈BitPaymer勒索軟體 - iOS

Windows版iTunes零時差漏洞遭用以散佈BitPaymer勒索軟體

文/林妍溱 | 2019-10-11發表

安全研究人員發現駭客利用Windows版iTunes及iCloud for Windows中的零時差攻擊漏洞
，躲過防毒軟體偵測、對Windows PC用戶散佈勒索程式BitPaymer。

安全公司Morphisec Labs首先在8月發現BitPaymer感染一家汽車製造商。BitPaymer在7月
間被偵測到在美國感染15家企業。但本波攻擊中，這隻勒索程式使用的路徑是一個「不帶
引號的服務路徑（Unquoted service Path）」零時差漏洞，存在於Windows版iTunes及
iCloud for Windows的Bonjour Updater軟體元件中。

研究人員指出，這類漏洞是物件導向程式開發中常見的錯誤，有時開發人員以為服務路徑
派發變項時，只使用String型態的變數就夠了，但實際上路徑還需要加上引號（quote）
標示，如"\\"。攻擊者可以用惡意檔案來置換原有可執行檔，這類漏洞過去在VPN軟體研
究很知名，因為它出現在具管理員權限的服務或其他行程，可被用以發動權限升級攻擊，
但並未被廣為使用。

MorphiSec發現駭客界利用蘋果Bonjour Updater來攻擊這項漏洞。Bonjour Updater是包
含在蘋果app中用於下載更新的機制，包括iTunes。但它有自己獨特的安裝入口和執行作
業排程。鮮為人知的是，移除iTunes並不會同時移除Bonjour，它必須分開移除。因此許
多企業電腦即使多年前移除了iTunes，電腦上還有未更新，但仍持續背景運作的Bonjour
。

Bonjour屬於合法行程，通常會被安全軟體如防毒程式掃瞄引擎忽略，使其下惡意子行程
，也不會觸發警告，像是MorphiSec這次發現的BitPaymer。

mac版iTunes已隨著最新的macOS Catalina釋出退役，Windows版iTunes，以及Windows 版
iCloud app用戶是這項漏洞及BitPaymer的高風險群。在MorphiSec向蘋果通報後，蘋果已
經發佈修補漏洞的Windows版iTunes 12.10.1 及 iCloud for Windows 10.7。

由於已有攻擊發生中，安全公司也呼籲用戶儘速升級到最新版程式及防毒軟體。

https://www.ithome.com.tw/news/133574

所以未來要移除iTunes的話還是要把Bonjour的服務一起移除

但其他外媒只有說在Windows版本有這個漏洞。Mac上的舊版iTunes沒有這個問題

--
標題 [新聞] 狂！大谷翔平敲三分砲 大聯盟首轟震撼美
時間 Wed Apr 4 11:36:35 2018
2018/04/05 [新聞]大谷翔平連2場開轟　今天苦主是去年賽揚投手

--