Apple iTunes Zero Day’i Fidye Yazılımı Saldırılarında Kullanılmış

BitPaymer ve iEncrypt ransomware saldırılarının arkasındaki siber suç grubunun, antivirüs algılamasından kaçınmak için Apple’ın iTunes ve Windows için iCloud yazılımıyla birlikte gelen az bilinen bir bileşeni etkileyen sıfır gün güvenlik açığından yararlandığı tespit edildi.

Söz konusu güvenlik açığı olan bileşen , arka planda sessizce çalışan ve gelecekteki güncellemelerin Apple yazılımı için otomatik olarak indirilmesi de dahil olmak üzere, çeşitli düşük düzey ağ görevlerini otomatikleştiren, sıfır ağ yapılandırma protokolü yapılandırması olan Bonjour güncelleyicisidir.

Unutulmamalıdır ki, Bonjour güncelleyici sisteme ayrı bir program olarak yüklendiğinden, iTunes ve iCloud’un kaldırılması Bonjour’u kaldırmaz, bu nedenle birçok Windows bilgisayarında güncellenmemiş ve sessizce arka planda çalışır.

Morphisec Labs’tan siber güvenlik araştırmacıları, saldırganların otomotiv endüstrisinde BitPaymer Ransomware ile  ismi açıklanmayan bir işletmeyi hedefledikleri Ağustos ayındaki saldırıda, Bonjour’un sıfır günlük güvenlik açığından yararlanıldığını keşfetti.

Apple’ın Bonjour Hizmeti’nde Belirtilmeyen Hizmet Yolu Güvenlik Açığı

Bonjour bileşeni, çalıştırılabilir bir yolun dosya adında boşluklar içerdiğinde ve alıntı etiketlerinde (“”) bulunmadığında ortaya çıkan yaygın bir yazılım güvenlik hatası olan, işaretsiz hizmet yolu güvenlik açığına karşı savunmasız bulundu.

İşaretsiz hizmet yolu güvenlik açığı, ana yola zararlı bir yürütülebilir dosya yerleştirerek, yasal ve güvenilir uygulamaları, kalıcılığı sürdürmek ve tespiti önlemek için kötü niyetli programları yürütmek üzere kandırarak kullanılabilir.

Araştırmacılar, “Bu senaryoda, Bonjour, Program Dosyaları klasöründen çalıştırılmaya çalışıyordu, ancak bildirilmeyen yol nedeniyle, bunun yerine, Program adı verildiğinden beri BitPaymer Ransomware’i çalıştırdı” dedi .

 

“Pek çok algılama çözümü davranış izlemeye dayandığından, işlem yürütme zinciri (üst-alt) alarmın aslına uygunluğu konusunda önemli bir rol oynar. Bilinen bir satıcı tarafından imzalanan meşru bir işlem yeni bir kötü niyetli alt işlemi yürütürse, ilgili bir uyarı üst işlemin bilinen bir satıcı tarafından imzalanmaması durumunda olacağından daha düşük bir güven puanına sahip olur.”

 

“Bonjour imzalanıp bilindiğinden beri, rakip bunu avantajları için kullanıyor.”

Algılanmadan kaçmanın yanı sıra, bazı durumlarda, savunmasız programın daha yüksek ayrıcalıklara sahip olma haklarına sahip olduğunda, belirtilmeyen hizmet yolu güvenlik açığı da ayrıcalıkları yükseltmek için kötüye kullanılabilir.

Ancak, bu özel durumda, Bonjour sıfır gün açığı, BitPaymer Ransomware’in virüslü bilgisayarlarda SYSTEM hakları kazanmasına izin vermedi. Sadece Bonjour bileşeni meşru bir işlem gibi göründüğü için kötü amaçlı yazılımın davranış izlemeye dayanan ortak algılama çözümlerinden kaçmasına izin verdi.

Güvenlik Yamaları Yayımlandı (iTunes için Windows / iCloud)

Morphisec Labs araştırmacıları saldırıyı keşfettikten sonra, Apple ile saldırının ayrıntılarını paylaştı ,Windows 10.7 için iCloud , Windows’un 7.14 için iCloud ve Windows için iTunes 12.10.1 açığını gidermek amacıyla güncellemeler yayınlandı.

Sistemlerinde iTunes veya / veya iCloud yüklü olan Windows kullanıcılarının, yazılımlarını en son sürümlerine güncellemeleri şiddetle tavsiye edilir.

Bu Apple yazılımlarından birini Windows bilgisayarınıza  yüklediyseniz ve daha sonra kaldırdıysanız, Bonjour güncelleyici için sisteminizde kurulu uygulamaların listesini kontrol etmeli ve el ile kaldırmalısınız.

About The Author

Reply