Apple iTunes dan iCloud untuk Windows 0-Day Dimanfaatkan di Ransomware Attacks - Otak Kita

Apple iTunes dan iCloud untuk Windows 0-Day Dimanfaatkan di Ransomware Attacks


Otak Kita - Awasi pengguna Windows!

Kelompok cybercriminal di belakang serangan ransomware BitPaymer dan iEncrypt telah ditemukan mengeksploitasi kerentanan nol hari yang mempengaruhi komponen yang tidak dikenal yang dibundel dengan perangkat lunak iTunes dan iCloud Apple untuk Windows untuk menghindari deteksi antivirus.

Komponen rentan yang dimaksud adalah Bonjour updater, implementasi nol-konfigurasi protokol komunikasi jaringan yang bekerja secara diam-diam di latar belakang dan mengotomatiskan berbagai tugas jaringan tingkat rendah, termasuk mengunduh pembaruan perangkat lunak Apple di masa mendatang secara otomatis.

Yang perlu dicatat, karena Bonjour updater terinstal sebagai program terpisah pada sistem, menghapus instalan iTunes dan iCloud tidak menghapus Bonjour, itulah sebabnya ia akhirnya diinstal pada banyak komputer Windows - tidak diperbarui dan diam-diam berjalan di latar belakang.

Peneliti cybersecurity dari Morphisec Labs menemukan eksploitasi kerentanan zero-day Bonjour pada bulan Agustus ketika para penyerang menargetkan perusahaan yang tidak disebutkan namanya di industri otomotif BitPaymer ransomware.

Kerentanan Jalur Layanan Tanpa Kutipan di Layanan Bonjour Apple

Komponen Bonjour ditemukan rentan terhadap kerentanan jalur layanan tanpa tanda kutip, cacat keamanan perangkat lunak umum yang terjadi ketika jalur executable berisi spasi dalam nama file dan tidak terlampir dalam tanda kutip ("").

Kerentanan jalur layanan yang tidak dikutip dapat dieksploitasi dengan menanam file yang dapat dieksekusi berbahaya ke jalur induk, mengelabui aplikasi yang sah dan tepercaya dalam menjalankan program jahat untuk mempertahankan kegigihan dan menghindari deteksi.

    "Dalam skenario ini, Bonjour sedang mencoba menjalankan dari folder Program Files, tetapi karena jalur yang tidak dikutip, itu menjalankan ransomware BitPaymer karena bernama Program," kata para peneliti .

    "Karena banyak solusi deteksi didasarkan pada pemantauan perilaku, rantai eksekusi proses (orang tua-anak) memainkan peran utama dalam kesetiaan lansiran. Jika proses yang sah yang ditandatangani oleh vendor yang dikenal mengeksekusi proses anak jahat baru, peringatan terkait akan memiliki skor kepercayaan yang lebih rendah daripada jika orangtua tidak ditandatangani oleh vendor yang dikenal. "

    "Karena Bonjour ditandatangani dan dikenal, musuh menggunakan ini untuk keuntungan mereka." 


Selain lolos dari deteksi, dalam beberapa kasus, kerentanan jalur layanan yang tidak dikutip juga dapat disalahgunakan untuk meningkatkan hak istimewa ketika program rentan memiliki hak untuk berjalan di bawah hak istimewa yang lebih tinggi.
Firewall Aplikasi Web

Namun, dalam kasus khusus ini, Bonjour zero-day tidak mengizinkan ransomware BitPaymer untuk mendapatkan hak SISTEM pada komputer yang terinfeksi. Tapi itu memang memungkinkan malware untuk menghindari solusi deteksi umum yang didasarkan pada pemantauan perilaku karena komponen Bonjour tampak seperti proses yang sah.

Patch Keamanan Dirilis (iTunes / iCloud untuk Windows)

Segera setelah menemukan serangan itu, para peneliti di Morphisec Labs secara bertanggung jawab berbagi rincian serangan dengan Apple, yang baru saja merilis iCloud untuk Windows 10.7 , iCloud untuk Windows 7.14 , dan iTunes 12.10.1 untuk Windows untuk mengatasi kerentanan.

Pengguna Windows yang memiliki iTunes atau / dan iCloud diinstal pada sistem mereka sangat disarankan untuk memperbarui perangkat lunak mereka ke versi terbaru.

Jika Anda pernah menginstal salah satu perangkat lunak Apple ini di komputer Windows Anda dan kemudian mencopotnya, Anda harus memeriksa daftar aplikasi yang diinstal pada sistem Anda untuk Bonjour updater dan mencopotnya secara manual. 

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel