Phát hiện lỗ hổng bảo mật 0-day trên iTunes và iCloud cho Windows, đang được tin tặc lợi dụng để phát tán mã độc mã hóa tống tiền

Nhóm tội phạm mạng đứng sau các cuộc tấn công phát tán mã độc mã hóa tống tiền (ransomware) BitPaymer và iEncrypt đã được tìm thấy khai thác lỗ hổng 0-day ảnh hưởng đến một thành phần ít được biết đến đi kèm với phần mềm iTunes và iCloud của Apple cho hệ điều hành Windows để tránh sự phát hiện của phần mềm chống virus.

Phát hiện lỗ hổng bảo mật 0-day trên iTunes và iCloud cho Windows, đang được tin tặc lợi dụng để phát tán mã độc mã hóa tống tiền - CyberSec365.org

Theo đó, lỗ hổng bảo mật này nằm trong trình cập nhật của dịch vụ Bonjour, một giao thức truyền thông mạng chạy nền và tự động hóa các tác vụ mạng khác nhau, bao gồm cả tự động tải về các bản cập nhật cho phần mềm của Apple.

Cần lưu ý, vì trình cập nhật Bonjour được cài đặt như một chương trình riêng biệt trên hệ thống, gỡ cài đặt iTunes và iCloud không xóa Bonjour, đó là lý do tại sao cuối cùng nó lại bị cài đặt trên nhiều máy tính Windows - không được cập nhật và chạy âm thầm trong nền.

Các nhà nghiên cứu về an ninh mạng đến từ hãng bảo mật Morphisec Labs đã phát hiện ra việc khai thác lỗ hổng 0-day trên Bonjour vào tháng 8 khi những kẻ tấn công nhắm vào một doanh nghiệp giấu tên trong ngành công nghiệp ô tô bằng mã độc mã hóa tống tiền BitPaymer.

Cụ thể, lỗ hổng bảo mật trong Bonjour nằm trong đường dẫn dịch vụ không được trích dẫn, một lỗ hổng bảo mật phần mềm phổ biến xảy ra khi đường dẫn của tệp thực thi chứa khoảng trắng trong tên tệp và không được đặt trong thẻ trích dẫn ("").

Lỗ hổng đường dẫn dịch vụ không được trích dẫn có thể được khai thác bằng cách đưa tệp thực thi độc hại vào đường dẫn gốc, lừa các ứng dụng rằng đây là một đường dẫn hợp pháp nhằm giữ tính ổn định và bền bỉ cho mã độc

"In this scenario, Bonjour was trying to run from the Program Files folder, but because of the unquoted path, it instead ran the BitPaymer ransomware since it was named Program," the researchers said.

"As many detection solutions are based on behavior monitoring, the chain of process execution (parent-child) plays a major role in alert fidelity. If a legitimate process signed by a known vendor executes a new malicious child process, an associated alert will have a lower confidence score than it would if the parent was not signed by a known vendor."

"Since Bonjour is signed and known, the adversary uses this to their advantage."

Ngoài việc tránh bị phát hiện bởi các phần mềm anti-virus, trong một số trường hợp, lỗ hổng đường dẫn dịch vụ không được trích dẫn cũng có thể bị lạm dụng để tiến hành các cuộc tấn công leo thang đặc quyền  nếu các ứng dụng bị lợi dụng chạy dưới các đặc quyền cao.

Tuy nhiên, trong trường hợp cụ thể này, lỗ hổng 0-day trên Bonjour đã không cho phép phần mềm ransomware BitPaymer có được quyền đặc quyền "SYSTEM" trên các máy tính bị nhiễm. Nhưng nó đã cho phép phần mềm độc hại lẩn trốn các giải pháp phát hiện phổ biến dựa trên giám sát hành vi vì thành phần Bonjour xuất hiện như một quy trình hợp pháp.

Bản vá bảo mật được phát hành (iTunes / iCloud cho Windows)

Ngay sau khi phát hiện ra cuộc tấn công, các nhà nghiên cứu tại Morphisec Labs đã có trách nhiệm chia sẻ chi tiết về cuộc tấn công với Apple, ngay sau đó, Apple đã phát hành iCloud for Windows 10.7, iCloud for Windows 7.14, and iTunes 12.10.1 for Windows để giải quyết lỗ hổng.

Hiện tại, người dùng Windows được khuyến nghị nhanh chóng cập nhật iTunes hoặc iCloud (nếu có cài đặt) lên phiên bản mới nhất. Trong trường hợp bạn đã từng cài đặt một trong những phần mềm Apple này trên máy tính Windows của mình và sau đó gỡ cài đặt nó, bạn nên kiểm tra danh sách các ứng dụng đã cài đặt trên hệ thống của mình để cập nhật Bonjour hoặc gỡ cài đặt thủ công.

Đại Phát (Theo THN)