Apple iTunes e iCloud para Windows 0-Day explotados en ataques de ransomware
¡Cuidado con los usuarios de Windows!
Se descubrió que el grupo de ciberdelincuentes detrás de los ataques de ransomware BitPaymer e iEncrypt explota una vulnerabilidad de día cero que afecta a un componente poco conocido incluido con el software iTunes e iCloud de Apple para Windows para evadir la detección del antivirus.
El componente vulnerable en cuestión es el Buenos dias actualizador, una implementación de configuración cero del protocolo de comunicación de red que se ejecuta silenciosamente en segundo plano y automatiza varias tareas de red de bajo nivel, incluida la descarga automática de futuras actualizaciones para el software de Apple.
Tenga en cuenta que, como el actualizador de Bonjour se instala como un programa separado en el sistema, la desinstalación de iTunes e iCloud no elimina Bonjour, por lo que finalmente se instaló en muchas computadoras con Windows, desactualizado y ejecutándose silenciosamente en segundo plano.
Los investigadores de ciberseguridad de Morphisec Labs descubrieron la explotación de la vulnerabilidad de día cero de Bonjour en agosto, cuando los atacantes atacaron a una empresa anónima de la industria automotriz, BitPaymer ransomware.
Vulnerabilidad de ruta de servicio no listada en el servicio Bonjour de Apple
Se descubrió que el componente Bonjour era vulnerable a la vulnerabilidad de ruta de servicio no incluida en la lista, una falla de seguridad de software común que ocurre cuando la ruta de un ejecutable contiene espacios en el nombre de archivo y no está entre comillas («»).
La vulnerabilidad de la ruta de servicio no incluida en la lista se puede aprovechar colocando un archivo ejecutable malicioso en la ruta raíz, engañando a las aplicaciones legítimas y confiables para que ejecuten programas maliciosos para mantener la persistencia y evadir la detección.
«En este escenario, Bonjour estaba intentando ejecutar desde la carpeta Archivos de programa, pero debido a la ruta no entre comillas, en su lugar ejecutó el ransomware BitPaymer ya que se llamaba Programa», el los investigadores dijeron.
«Debido a que muchas soluciones de detección se basan en la supervisión del comportamiento, la cadena de ejecución del proceso (padre-hijo) juega un papel importante en la fidelidad de las alertas. Si un proceso legítimo firmado por un proveedor conocido ejecuta un nuevo proceso hijo malicioso, se incluirá un aviso asociado una puntuación de confianza más baja que la que tendría si la empresa matriz no estuviera firmada por un proveedor conocido «.
«Dado que Bonjour ha sido firmado y conocido, el oponente lo usa a su favor».
Además de escapar a la detección, en algunos casos, la vulnerabilidad de la ruta de servicio no listada también podría abusarse para aumentar los privilegios cuando el programa vulnerable tiene los derechos para ejecutarse con privilegios más altos.
Sin embargo, en este caso particular, el día cero de Bonjour no permitió que BitPaymer ransomware obtuviera derechos de SISTEMA en las computadoras infectadas. Pero permitió que el malware eludiera las soluciones de detección comunes basadas en el monitoreo del comportamiento porque el componente Bonjour aparece como un proceso legítimo.
Lanzamiento de parches de seguridad (iTunes / iCloud para Windows)
Inmediatamente después de descubrir el ataque, los investigadores de Morphisec Labs compartieron responsablemente los detalles del ataque con Apple, que acaba de publicar ayer. iCloud para Windows 10.7, iCloud para Windows 7.14, Y iTunes 12.10.1 para Windows para abordar la vulnerabilidad.
Se recomienda encarecidamente a los usuarios de Windows que tengan iTunes o iCloud instalados en su sistema que actualicen su software a las últimas versiones.
En caso de que alguna vez haya instalado alguno de estos software de Apple en su computadora con Windows y luego lo haya desinstalado, debe verificar la lista de aplicaciones instaladas en su sistema para el actualizador Bonjour y desinstalarlo manualmente.