Apple iTunes和iCloud for Windows 0-Day在勒索软件攻击中被利用

BitPaymer和Enciencrypt勒索软件攻击背后的网络犯罪集团被发现利用了一个影响一个鲜为人知的组件的零日漏洞，该组件与苹果iTunes和iCloud Windows软件捆绑在一起，以逃避反病毒检测。

问题中的脆弱部分是早上好updater是网络通信协议的零配置实现，它在后台默默工作，自动执行各种低级网络任务，包括自动下载苹果软件的未来更新。

需要注意的是，由于Bonjour updater是作为一个单独的程序安装在系统上的，卸载iTunes和iCloud并不会删除Bonjour，这就是为什么它最终会被安装在许多Windows计算机上的原因；未更新并在后台静默运行。

Morphisec实验室的网络安全研究人员在8月发现了利用Bonjour zero day漏洞的漏洞，当时攻击者攻击了汽车行业的一家未具名企业BitPaymer勒索软件。

Apple的Bonjour服务中存在未报价的服务路径漏洞

发现Bonjour组件易受无引号服务路径漏洞的攻击，这是一种常见的软件安全漏洞，当可执行文件的路径在文件名中包含空格且未包含在引号标记（“”）中时，就会出现该漏洞。

通过将恶意可执行文件植入父路径，诱使合法和受信任的应用程序执行恶意程序，以保持持久性并逃避检测，可以利用未引用的服务路径漏洞进行攻击。

研究人员说：“在这种情况下，Bonjour试图从Program Files文件夹中运行，但由于路径不带引号，它反而运行了BitPaymer勒索软件，因为它被命名为Program。”。

“由于许多检测解决方案都基于行为监控，流程执行链（父-子）在警觉保真度方面发挥着重要作用。如果由已知供应商签名的合法进程执行新的恶意子进程，则相关警报的置信度将低于父进程未由已知供应商签名时的置信度。"

“既然大家都知道《你好》是有签名的，对手就利用这一点为自己谋利。”

除了逃避检测之外，在某些情况下，当易受攻击的程序有权在更高权限下运行时，未引用的服务路径漏洞也可能被滥用以升级权限。

然而，在这个特殊的案例中，Bonjour zero day不允许BitPaymer勒索软件在受感染的计算机上获得系统权限。但它确实允许恶意软件避开基于行为监控的常见检测解决方案，因为Bonjour组件看起来像一个合法的过程。

发布安全补丁（iTunes/iCloud for Windows）

在发现攻击后，Morphisec实验室的研究人员立即负责地与苹果分享了攻击的细节。苹果昨天发布了针对Windows 10.7的iCloud、针对Windows 7.14的iCloud和针对Windows的iTunes 12.10.1，以解决该漏洞。

强烈建议系统中安装了iTunes或/和iCloud的Windows用户将其软件更新至最新版本。

如果您曾经在Windows计算机上安装过这些苹果软件之一，然后卸载了它，您应该检查系统上已安装应用程序的列表，以获取Bonjour updater，然后手动卸载它。