Windows版iTunes傳零時差攻擊漏洞 蘋果呼籲儘速更新

BitPaymer(或稱iEncrypt)是一個兇猛的勒索軟體變種,不只會加密資料檔,也會加密app及程式檔。 安全廠商指出,這顯示背後的駭客團體手法很先進,一定是下了很深的研究工夫才能跑在安全產業之前。

蘋果上周修補了Windows 版iTunes中一個能讓駭客躲避防毒軟體偵測,安裝BitPaymer勒索軟體的重大漏洞。

這個漏洞是由網路安全公司Morphisec發現。蘋果在macOS Catalina砍掉iTunes,以Music、Podcasts和TV app取而代之,不過Windows上仍然持續保有iTunes。

Morphisec指出,攻擊者是開採了iTunes中的Bonjour Updater軟體元件的「不帶引號的服務路徑」(unquoted service path)漏洞。這類漏洞來自在開發人員忘記為檔案服務加上引號,這會造成Windows在檔案路徑上每個資料夾中尋找該服務,直到找到檔案為止。例如程式(program.exe)檔案位於c:\program files\sub folder 1\sub folder 2\program.exe中,利用這個路徑劫持(path hijack)漏洞,可以貍貓換太子取代之,以執行 c:\program files\sub folder 1\malicious program.exe。

這類路徑劫持攻擊可被用作權限升級攻擊,如果某項程式以系統(System)使用者或管理員權限執行,則可安裝各式各樣惡意程式。

在這次事件中,這個程式就是蘋果的Bonjour Updater,因為它獲得蘋果簽章、屬於合法程式,因此由它執行的惡意軟體,像是Bitpaymer勒索軟體也不會觸發防毒程式掃瞄及警告。

Bonjour Updater很特別的是,它並不會隨著iTunes移除,使用者必須手動從電腦上移除。許多企業電腦上藏有可背景運作的舊版Bonjour Updater而不自知。據信已有一家汽車業不知名廠商因此感染BitPaymer。Morphisec技術長Michael Gorelik說,Bitpaymer偽裝成名為Program的檔案,沒有.exe副檔名,成功躲過了防毒軟體的偵測,潛伏在系統中,所幸在受害者系統中還沒有權限升級攻擊情形發生。

但是BitPaymer(或稱iEncrypt)是一個兇猛的勒索軟體變種,不只會加密資料檔,也會加密app及程式檔。 安全廠商指出,這顯示背後的駭客團體手法很先進,一定是下了很深的研究工夫才能跑在安全產業之前。

除了Windows版iTunes,本漏洞也影響Windows版iCloud。經研究人員早先通報後,蘋果已分別釋出iTunes 12.10.1 for WindowsiCloud for Windows 7.14修補,因此使用者應盡速更新。

來源:The Next Web

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416