Lỗ hổng 0-day trong iTunes và iCloud của Apple dành cho Windows bị khai thác trong các cuộc tấn công ransomware

Nhóm tội phạm mạng đứng sau các cuộc tấn công ransomware BitPaymer và iEncrypt gần đây lại tiếp tục bị phát hiện đang tích cực khai thác một lỗ hổng zero-day mới nhằm trốn tránh các phần mềm phát hiện virus. Lỗ hổng lần này nằm trong một thành phần (component) ít được biết đến đi kèm với các phần mềm iTunes và iCloud của Apple dành cho máy tính Windows.



Thành phần chứa lỗ hổng nghi vấn là trình cập nhật Bonjour – một trình triển khai không cấu hình (zero-configuration) giao thức truyền thông mạng hoạt động ngầm trong nền và tự động hóa các tác vụ mạng cấp thấp khác nhau bao gồm tự động tải xuống các bản cập nhật trong tương lai cho các phần mềm của Apple.



Vì trình cập nhật Bonjour được cài đặt như một chương trình riêng biệt trên hệ thống nên việc gỡ cài đặt iTunes và iCloud sẽ không thể loại bỏ Bonjour. Đây chính là lý do tại sao trình cập nhật này lại bị cài đặt trên nhiều máy tính Windows và chạy âm thầm trong nền như vậy.



Các nhà nghiên cứu về an ninh mạng từ Morp4ec Labs đã phát hiện ra việc khai thác lỗ hổng zero-day Bonjour vào tháng 8 khi các hacker thực hiện cuộc tấn công ransomware BitPaymer nhắm vào một doanh nghiệp giấu tên trong ngành công nghiệp ô tô




Lỗ hổng đường dẫn dịch vụ không trích dẫn trong Dịch vụ Bonjour của Apple



Thành phần Bonjour được phát hiện có chứa lỗ hổng đường dẫn dịch vụ không
trích dẫn (unquoted service path) – một lỗi bảo mật phần mềm phổ biến xảy
ra khi đường dẫn của tệp thực thi chứa khoảng trắng trong tên tệp và không được
đặt trong thẻ trích dẫn (“”).



Lỗ hổng này có thể bị các hacker khai thác bằng cách đưa một tệp thực
thi độc hại vào đường dẫn cha mẹ (parent path) , đồng thời lừa các ứng dụng
hợp pháp và đáng tin cậy thực thi các chương trình độc hại nhằm duy trì sự hiện
diện và trốn tránh các phát hiện của phần mềm chống virus.



Các nhà nghiên cứu cho biết vì nhiều giải pháp phát hiện được thực hiện
dựa trên giám sát hành vi nên chuỗi thực thi quy trình (cha mẹ và con) đóng vai
trò chính trong các hoạt động cảnh báo này.



Và vì Bonjour đã được ký và xác minh tính hợp pháp nên các hacker đã tận
dụng tối đa lợi thế này.



Bên cạnh việc thoát khỏi các phát hiện, trong một số trường hợp, lỗ hổng
đường dẫn dịch vụ không trích dẫn cũng có thể bị lạm dụng để thực hiện leo
thang đặc quyền khi chương trình chứa lỗ hổng có quyền chạy dưới các đặc quyền
cao hơn.



Tuy nhiên, trong trường hợp cụ thể này, lỗ hổng zero-day
trong Bonjour không cho phép ransomware BitPaymer có được đặc quyền HỆ THỐNG (SYSTEM)
trên các máy tính bị nhiễm. Mặc dù vậy, malware vẫn có thể trốn tránh các
giải pháp phát hiện phổ biến dựa trên giám sát hành vi vì thành phần Bonjour được
xem xét là một quy trình hợp pháp.




Bản vá bảo mật đã được phát hành (iTunes / iCloud cho Windows)



Ngay sau khi phát hiện ra cuộc tấn công này, các nhà nghiên
cứu tại Morp4ec Labs đã chia sẻ các chi tiết về lỗ hổng cho Apple.



Mới đây, bản vá cho lỗ hổng đã được chính thức phát hành trong các phiên bản iCloud cho Windows 10.7 , iCloud cho Windows 7.14 và iTunes 12.10.1 cho Windows.



Người dùng Windows đã cài đặt iTunes hoặc / và iCloud trên hệ thống được khuyến nghị nên cập nhật phần mềm của mình lên các phiên bản mới nhất càng sớm càng tốt. Trong trường hợp bạn đã từng cài đặt một trong những phần mềm Apple này trên máy tính Windows của mình và sau đó gỡ cài đặt thì bạn nên kiểm tra danh sách các ứng dụng trên hệ thống để tìm thấy trình cập nhật Bonjour và gỡ cài đặt theo cách thủ công.



THN
The post Lỗ hổng 0-day trong iTunes và iCloud của Apple dành cho Windows bị khai thác trong các cuộc tấn công ransomware appeared first on SecurityDaily .