Lỗ hổng zero-day trong một thành phần kèm iTunes và iCloud cho Windows của Apple là nguyên nhân dẫn đến các cuộc tấn công mã độc tống tiền (ransomware) BitPaymer và iEncrypt.
iCloud cho Windows chứa lỗ hổng cho phép kẻ tấn công gửi mã độc tống tiền
Theo Thehackernews, thành phần dễ bị tổn thương là trình cập nhật Bonjour vốn hoạt động âm thầm trong nền và tự động hóa các tác vụ mạng cấp thấp khác nhau, bao gồm tự động tải xuống các bản cập nhật trong tương lai cho phần mềm Apple.
Cần lưu ý, vì trình cập nhật Bonjour được cài đặt như một chương trình riêng biệt trên hệ thống nên việc gỡ cài đặt iTunes và iCloud không xóa Bonjour. Đó là lý do tại sao cuối cùng nó lại bị cài đặt trên nhiều máy tính Window, mặc dù không được cập nhật và chạy âm thầm trong nền.
Các nhà nghiên cứu về an ninh mạng từ Morp4ec Labs đã phát hiện ra việc khai thác lỗ hổng zero-day của Bonjour vào tháng 8 khi những kẻ tấn công nhắm vào một doanh nghiệp giấu tên trong ngành công nghiệp ô tô bởi ransomware BitPaymer.
Được biết, thành phần Bonjour được tìm thấy dễ bị tổn thương bởi lỗ hổng đường dẫn dịch vụ không được trích dẫn - một lỗ hổng bảo mật phần mềm phổ biến xảy ra khi đường dẫn của tập tin thực thi chứa khoảng trắng trong tên tập tin và không được đặt trong thẻ trích dẫn.
Lỗ hổng đường dẫn dịch vụ không được trích dẫn có thể được khai thác bằng cách đưa tập tin thực thi độc hại vào đường dẫn nguồn, lừa các ứng dụng hợp pháp và đáng tin cậy để thực thi các chương trình độc hại.
Bên cạnh việc thoát khỏi sự phát hiện, trong một số trường hợp, lỗ hổng đường dẫn dịch vụ không được trích dẫn cũng có thể bị lạm dụng để yêu cầu quyền chạy theo các đặc quyền cao hơn. Với BitPaymer, nó cho phép phần mềm độc hại trốn tránh các giải pháp phát hiện phổ biến dựa trên giám sát hành vi vì thành phần Bonjour xuất hiện như một quy trình hợp pháp.
Ngay sau khi phát hiện ra lỗ hổng, các nhà nghiên cứu tại Morp4ec Labs đã chia sẻ chi tiết về cuộc tấn công với Apple. Công ty đã phát hành iCloud 10.7 cho Windows, iCloud 7.14 cho Windows và iTunes 12.10.1 cho Windows để giải quyết lỗ hổng. Người dùng hãy cập nhật lên các phiên bản phần mềm mới nhất để bảo vệ mình.
iCloud cho Windows chứa lỗ hổng cho phép kẻ tấn công gửi mã độc tống tiền
Theo Thehackernews, thành phần dễ bị tổn thương là trình cập nhật Bonjour vốn hoạt động âm thầm trong nền và tự động hóa các tác vụ mạng cấp thấp khác nhau, bao gồm tự động tải xuống các bản cập nhật trong tương lai cho phần mềm Apple.
Cần lưu ý, vì trình cập nhật Bonjour được cài đặt như một chương trình riêng biệt trên hệ thống nên việc gỡ cài đặt iTunes và iCloud không xóa Bonjour. Đó là lý do tại sao cuối cùng nó lại bị cài đặt trên nhiều máy tính Window, mặc dù không được cập nhật và chạy âm thầm trong nền.
Các nhà nghiên cứu về an ninh mạng từ Morp4ec Labs đã phát hiện ra việc khai thác lỗ hổng zero-day của Bonjour vào tháng 8 khi những kẻ tấn công nhắm vào một doanh nghiệp giấu tên trong ngành công nghiệp ô tô bởi ransomware BitPaymer.
Được biết, thành phần Bonjour được tìm thấy dễ bị tổn thương bởi lỗ hổng đường dẫn dịch vụ không được trích dẫn - một lỗ hổng bảo mật phần mềm phổ biến xảy ra khi đường dẫn của tập tin thực thi chứa khoảng trắng trong tên tập tin và không được đặt trong thẻ trích dẫn.
Lỗ hổng đường dẫn dịch vụ không được trích dẫn có thể được khai thác bằng cách đưa tập tin thực thi độc hại vào đường dẫn nguồn, lừa các ứng dụng hợp pháp và đáng tin cậy để thực thi các chương trình độc hại.
Bên cạnh việc thoát khỏi sự phát hiện, trong một số trường hợp, lỗ hổng đường dẫn dịch vụ không được trích dẫn cũng có thể bị lạm dụng để yêu cầu quyền chạy theo các đặc quyền cao hơn. Với BitPaymer, nó cho phép phần mềm độc hại trốn tránh các giải pháp phát hiện phổ biến dựa trên giám sát hành vi vì thành phần Bonjour xuất hiện như một quy trình hợp pháp.
Ngay sau khi phát hiện ra lỗ hổng, các nhà nghiên cứu tại Morp4ec Labs đã chia sẻ chi tiết về cuộc tấn công với Apple. Công ty đã phát hành iCloud 10.7 cho Windows, iCloud 7.14 cho Windows và iTunes 12.10.1 cho Windows để giải quyết lỗ hổng. Người dùng hãy cập nhật lên các phiên bản phần mềm mới nhất để bảo vệ mình.
Theo Thanh Niên
