TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
คนร้ายได้เลือกใช้ช่องโหว่ Zero-day บน iTunes ในเวอร์ชัน Windows เพื่อช่วยเหลือในการโจมตีด้วย Ransomware ให้หลบเลี่ยงการตรวจจับของโซลูชันป้องกันต่างๆ
ความน่าสนใจของการโจมตีในครั้งนี้อยู่ที่ช่องโหว่ Zero-day ของ iTunes โดยไอเดียคือเกิดขึ้นจากช่องโหว่ Unquote Path ในส่วน Bonjour (ไม่ได้ครอบด้วย “” มักเกิดกับการเขียนโปรแกรมแบบ OO ที่อาศัยการใช้ String กับ Path) ที่ทาง Apple ใช้เพื่อนำส่งการอัปเดต รวมถึงเป็นทางเข้าของการติดตั้งซอฟต์แวร์ นอกจากนี้การถอนการติดตั้ง iTunes จะไม่ได้ลบ Bonjour ออกไปด้วย โดย Bonjour นั้นเป็นโปรเซสที่เป็น Well-known และมีการ Signed ทำให้โซลูชันป้องกันไม่อยากข้องเกี่ยวจนเกิดปัญหากับการทำงาน ด้วยเหตุผลเหล่านี้เองจึงดึงดูดต่อคนร้ายใช้ช่องโหว่นี้ในการปฏิบัติการอันตราย
โดยการทำงานปกติ Bonjour ควรจะต้องไปรันไฟล์ในโฟลเดอร์ Program Files แต่กลายเป็นว่าไปโหลด BitPaymer จาก Unquoted Path แทน อย่างไรก็ตามช่องโหว่ไม่ได้ช่วยให้คนร้ายได้สิทธิ์ระดับผู้ดูแลเพียงแค่เป็นการหลบเลี่ยงการตรวจจับของโซลูชันป้องกันเท่านั้นเอง ซึ่งทาง Apple ได้ทำการแพตช์แก้ไขแล้วไม่กี่วันก่อนที่นี่
ข้อควรระวังคือ Bonjour ไม่ได้ถูกถอนพร้อมกับ iTunes ดังนั้นผู้ใช้ต้องเข้าไปลบเองหรืออัปเดต iTunes เป็นเวอร์ชันล่าสุดเพื่อให้แน่ใจว่า Bonjour จะถูกอัปเดตไปด้วย
ที่มา : https://www.zdnet.com/article/ransomware-gang-uses-itunes-zero-day/ และ https://www.securityweek.com/itunes-zero-day-vulnerability-exploited-bitpaymer-ransomware
