0

Злоумышленники использовали глупую ошибку в коде iTunes для установки вредоносного ПО

Исследователи безопасности из Morphisec опубликовали информацию об уязвимости «нулевого дня» в утилите обновления программного обеспечения Apple, которая автоматически устанавливается вместе с iTunes и другими сервисами компании. Как утверждают исследователи, злоумышленники использовали ошибку под названием “Unquoted path” для установки своей заразы и обхода антивирусного программного обеспечения. Ошибка «Адрес без кавычек» создает уязвимость, когда разработчик указывает путь для исполняемого сервиса без использования кавычек. Элементарная невнимательность может привести к серьезным последствиям и финансовому ущербу жертв случайно созданной дыры безопасности.

Уязвимости, вызванные ошибкой «Адрес без кавычек», встречаются весьма редко, но все же встречаются. Более того, они были замечены в крупном и популярном ПО, которое установлено на миллионы компьютеров. Ошибки находили в графическом драйвере Intel, различных VPN-клиентах, а теперь и в iTunes.

«Адрес без кавычек» - не единственная ошибка Apple. Не так давно среди macOS-аудитории разгорелся скандал с приложением Zoom, которое втихаря устанавливало на компьютере пользователя сервер и открывало порт для прослушивания трафика и инициализации своего программного обеспечения. Даже после удаления приложения сервер оставался на компьютере пользователя, что ставило под угрозу безопасность устройства. Apple быстро прикрыла лавочку, чтобы обезопасить пользователей macOS. К сожалению, разработчики из Купертино не стесняются практиковать на Windows то, что Apple осуждает в своей экосистеме. Исследователи обнаружили, что утилита обновления программного обеспечения Apple остается на компьютерах, из которых давным-давно удалили iTunes. Таким образом пользователь остается уязвимым даже после удаления и так ненавидимого миллионами софта.

Уязвимость уже активно используется злоумышленниками. Morphisec сообщает, что ошибку использовали в августе этого года для установки вирусов-вымогателей BitPaymer на компьютерах Windows одного производителя автомобилей. Хакеры использовали уязвимость для создания «дочернего» процесса внутри надежного и подписанного процесса приложения. Это позволяет обойти защиту антивирусного ПО. Эксплойт позволил хакерам запустить вредоносный файл “Program” без расширения .exe, благодаря чему тот обошел радары антивирусов. Утилита обновления ПО Apple попыталась запуститься из-под папки Program Files, но отсутствие кавычек привело к запуску файла Program. Результат – успешно запущенный вирус-вымогатель.

Morphisec уведомила Apple о своих находках в августе 2019 года. К счастью, дыры закрыли в обновлении iTunes 12.10.1 и iCloud for Windows 7.14, но при этом Morphisec отмечает, что Apple по-прежнему не закрыла другие баги и уязвимости безопасности, о которых компанию уже давно предупредили.

Источник: Morphisec.

НравитсяНе нравится
+1
Loading ... Loading ...

Вы должны быть для написания комментариев.