بهره‌برداری از آسیب‌پذیری روز-صفرم در حملات باج‌افزاری با استفاده از نسخه‌های ویندوزی iCloud و iTunes اپل

گروه‌های باج‌افزاری BitPaymer و iEncrypt از یک آسیب‌پذیری روز-صفرم در مولفه‌های iTunes و iCloud در سیستم عامل ویندوز بهره برداری می‌کنند. مولفه‌ی آسیب‌پذیر در این برنامه‌ها Bonjour updater است که یک پیاده‌سازی بدون پیکربندی برای پروتکل‌های ارتباطی شبکه است و در پس‌زمینه اجرا می‌شود و وطایف سطح پایین شبکه‌ای را خودکارسازی می‌کند.

ذکر این نکته ضروری است که Bonjour updater به‌طور جداگانه نصب شده و حذف برنامه‌های iTunes و iCloud به حذف آن بر روی سیستم عامل ویندوز منجر نمی‌شود. محققان از آزمایشگاه Morphisec در ماه آگوست بهره‌برداری از آسیب‌پذیری روز-صفرم Bonjour را شناسایی کردند. مهاجمان در این بهره‌برداری یک شرکت را با باج‌افزار BitPaymer هدف قرار داده بودند. آسیب‌پذیری موجود در این برنامه از نوع unquoted service path است. این آسیب‌پذیری یک اشکال شناخته‌شده در نرم‌افزارهاست و زمانی به‌وجود می‌آید که در مسیر یک فایل اجرایی و در نام آن یک کاراکتر فاصله وجود دارد و در تگ کوتیشن قرار داده نشده است.

این آسیب‌پذیری با قرار دادن یک فایل اجرایی مخرب در مسیر اصلی و واداشتن یک برنامه‌ی امن و قابل اطمینان برای اجرای آن، قابلیت پایداری و دور زدن روش‌های شناسایی را فراهم می‌آورد. در سناریوی حمله که توسط محققان شناسایی شده، برنامه‌ی Bonjour در تلاش است تا از مسیر پوشه‌ی Program Files اجرا شود ولی به‌خاطر مسیر بدون کوتیشن، برنامه‌ی باج‌افزار BitPaymer اجرا می‌شود. بسیاری از برنامه‌های امنیتی براساس نظارت رفتاری عمل می‌کنند و چون در چنین سناریوی حمله‌ای از رابطه‌ی پردازه‌های والد-فرزند استفاده می‌شود، همچنین به‌دلیل امنیت و امضاءشدن برنامه‌ی والد، احتمال صدور هشدار توسط برنامه‌های امنیتی کاهش می‌یابد. برنامه‌ی Bonjour نیز جزو برنامه‌هایی است که توسط یک وندور شناخته‌شده امضاء شده است.

علاوه بر اینکه بهره‌برداری از این آسیب‌پذیری می‌تواند راه‌کارهای امنیتی را دور بزند، امکان ارتقاء امتیاز را برای مهاجم نیز فراهم می‌کند و این در صورتی است که برنامه‌ی اجراشده و آسیب‌پذیر، دارای امتیازات بالایی باشد. هرچند در این سناریو که توسط محققان شناسایی شده، آسیب‌پذیری به باج‌افزار BitPaymer امتیازات SYSTEM را اختصاص نمی‌دهد. اپل پس از اطلاع از این آسیب‌پذیری، iCloud برای Windows 10.7 و Windows 7.14 و iTunes 12.10.1 برای ویندوز را منتشر کرد. اگر جزو کاربرانی هستید که برنامه‌های اپل را نصب کرده‌اید، هرچه سریع‌تر این برنامه‌ها را به‌روزرسانی کنید. اگر برنامه‌های اپل را حذف کرده‌اید، در سیستم خود به دنبال برنامه‌ی Bonjour updater باشید و آن را به‌روزرسانی کنید.

منبع

پست‌های مشابه

Leave a Comment