iTunes

Une faille d’iTunes et iCloud sur Windows exploitée par un ransomware

Une vulnérabilité zero-day affectant un petit composant des logiciels iTunes et iCloud sur Windows est exploitée activement par des ransomwares. Il semblerait que le groupe de cybercriminel derrière cette campagne d’attaque soit le même qui était responsable des ransomwares BitPaymer et iEncrypt.

Le composant vulnérable en question est l’updater Bonjour, une implémentation du protocole de communication réseau qui travaille silencieusement en arrière plan et automatise certaines taches de bas-niveau du réseau, y compris le téléchargement automatique des futures mises à jour du logiciel d’Apple.

Il faut préciser que comme l’updater Bonjour est installé séparément sur le système, la désinstallation de iTunes et iCloud ne supprime pas Bonjour. C’est pour cela que le logiciel est présent sur pas mal d’ordinateurs Windows, dans une version non à jour et s’exécutant en arrière plan.

Les chercheurs en sécurité de Morphisec Labs ont découvert l’exploitation de la faille zero-day de Bonjour en Août quand les pirates ont ciblé une entreprise anonyme dans l’industrie automobile.

Vulnérabilité “Unquoted Service Path” dans le service Bonjour d’Apple

Le composant Bonjour est vulnérable à une faille unquoted service path, en français cela se traduirait par “chemin de service non-mis entre guillements”. Ce type de faille est possible quand le chemin d’un exécutable contient des espaces dans le nom de fichier et n’est pas enfermé dans des guillemets (“”).

Cette vulnérabilité peut être exploité en déposant un exécutable malveillant dans le chemin parent, forçant des applications légitimes et fiables à exécuter des programmes malveillants pour maintenir la persistance et éviter de se faire détecter.

“Dans ce scénario, Bonjour essayer de s”exécuter depuis le dossier Program Files, mais à cause du chemin qui n’est pas entre guillemets, il s’est exécuter dans le ransomware BitPaymer car il était nommé Program,” ont expliqué les chercheurs.

“Comme beaucoup de logiciels de détection sont basés sur la surveillance de comportement, la chaîne d’exécution de processus (parent-enfant) joue un rôle important. Si un processus légitime signé par une source connue exécute un nouveau processus enfant malveillant, l’alerte associée aura un indice de confiance plus faible que si le parent n’était pas signé par une source connue.”

“Comme Bonjour est signé et connu, les pirates l’utilisent à leur avantage.”

iCloud

En plus d’échapper à la détection, dans certains cas, la vulnérabilité de chemin de service non-mis entre guillemets pourrait aussi être utilisé pour élever des privilèges quand le programme vulnérable a les permissions de s’exécuter avec des privilèges plus élevés.

Toutefois, dans ce cas particulier, la faille zero-day de Bonjour ne permettait pas au ransomware BitPaymer d’obtenir des privilèges SYSTEM sur les ordinateurs infectés. Mais il permettait au malware d’échapper aux logiciels antivirus basés sur la surveillance de comportement car le composant Bonjour apparaît comme un processus légitime.

Patchs de sécurité (iTunes / iCloud sur Windows)

Immédiatement après avoir découvert l’attaque, les chercheurs de Morphisec Labs ont partagé les détails de l’attaque avec Apple. La compagnie a donc distribué iCloud for Windows 10.7iCloud for Windows 7.14, et iTunes 12.10.1 for Windows pour adresser cette vulnérabilité.

Les utilisateurs de Windows qui ont iTunes ou/et iCloud installé(s) sur leur système doivent mettre à jour leur(s) logiciel(s) dès que possible.

Si vous aviez installé l’un de ces logiciel Apple sur votre PC Windows et que vous les avez désinstallé, il est recommandé de vérifier la liste d’applications installées sur votre PC et de désinstaller l’updater Bonjour manuellement si vous le trouvez dans cette liste.

Si cet article vous a plu, jetez un œil à notre article précédent.