来源:互联网 时间:2019-10-15 13:56:58
Windows版Apple iTunes中的零日漏洞使攻击者可以绕过Windows设备上的防病毒检测。有针对性的BitPaymer或IEncrypt勒索活动是由在安全人员检测Morphisec谁叫做iTunes的开发“新的和令人震惊的逃避技术。”
滥用一条未引用的路径来保持持久性并逃避侦查
iTunes和iCloud Windows版随附的Bonjour更新程序中存在此Apple零日漏洞。Morphisec说,“敌人。”Unquoted path漏洞是一个广为人知的错误,由于开发人员忘记在文件路径两边加上引号而引起。最新的零时差证明开发人员继续忽略报价。
软件开发人员正在使用越来越多的面向对象的程序,并且在给变量分配路径时,他们多次认为仅使用变量的String类型就足够了–事实并非如此!路径仍然需要用引号(“ \\”)包围。
这种小的疏忽使攻击者能够启动Bonjour组件并劫持其执行路径,以将其指向其勒索软件。通过通过受信任的程序(由像Apple这样的合法开发人员进行数字签名的程序)引入错误,该技术可以有效地使攻击者绕过检测。“由于苹果的软件更新签名的和已知的,对手使用这个自己的优势,” Morphisec写道。
Apple已修复此缺陷,但即使已卸载Windows版iTunes的用户,也将受到影响。
由于Bonjour updater随两个版本一起提供,因此Apple也通过Windows版iTunes 12.10.1和Windows 7.14版iCloud修复了该漏洞。
Morphisec警告说,即使您当前不运行iTunes,但过去曾经运行过iTunes,您仍然可能处于危险之中,暗示这可能是攻击者选择逃避此过程的原因。
计算机将安装并运行更新程序任务。
在大多数情况下,人们不了解卸载iTunes时需要分别卸载Apple Software Update组件。因此,
调查结果显示Apple软件更新已安装在不同企业中的大量计算机上,我们对此感到惊讶。许多计算机是几年前卸载iTunes的,而Apple Software Update组件保持沉默,未更新且仍在后台运行。根据这一发现,我们确定了攻击面以及攻击者选择逃避此过程的动机。
Morphisec研究人员还补充说,苹果开发人员“并未修复我们报告的所有漏洞,仅修复了被攻击者滥用的漏洞”。无论如何,如果您确实使用iTunes,请确保将其更新到最新版本。Mac用户不受此错误影响。
相关推荐
猜你喜欢