Breaking News

พบคนร้ายใช้ช่องโหว่ Zero-day ของ iTunes ปล่อย BitPaymer Ransomware

คนร้ายได้เลือกใช้ช่องโหว่ Zero-day บน iTunes ในเวอร์ชัน Windows เพื่อช่วยเหลือในการโจมตีด้วย Ransomware ให้หลบเลี่ยงการตรวจจับของโซลูชันป้องกันต่างๆ

ความน่าสนใจของการโจมตีในครั้งนี้อยู่ที่ช่องโหว่ Zero-day ของ iTunes โดยไอเดียคือเกิดขึ้นจากช่องโหว่ Unquote Path ในส่วน Bonjour (ไม่ได้ครอบด้วย “” มักเกิดกับการเขียนโปรแกรมแบบ OO ที่อาศัยการใช้ String กับ Path) ที่ทาง Apple ใช้เพื่อนำส่งการอัปเดต รวมถึงเป็นทางเข้าของการติดตั้งซอฟต์แวร์ นอกจากนี้การถอนการติดตั้ง iTunes จะไม่ได้ลบ Bonjour ออกไปด้วย โดย Bonjour นั้นเป็นโปรเซสที่เป็น Well-known และมีการ Signed ทำให้โซลูชันป้องกันไม่อยากข้องเกี่ยวจนเกิดปัญหากับการทำงาน ด้วยเหตุผลเหล่านี้เองจึงดึงดูดต่อคนร้ายใช้ช่องโหว่นี้ในการปฏิบัติการอันตราย

โดยการทำงานปกติ Bonjour ควรจะต้องไปรันไฟล์ในโฟลเดอร์ Program Files แต่กลายเป็นว่าไปโหลด BitPaymer จาก Unquoted Path แทน อย่างไรก็ตามช่องโหว่ไม่ได้ช่วยให้คนร้ายได้สิทธิ์ระดับผู้ดูแลเพียงแค่เป็นการหลบเลี่ยงการตรวจจับของโซลูชันป้องกันเท่านั้นเอง ซึ่งทาง Apple ได้ทำการแพตช์แก้ไขแล้วไม่กี่วันก่อนที่นี่

ข้อควรระวังคือ Bonjour ไม่ได้ถูกถอนพร้อมกับ iTunes ดังนั้นผู้ใช้ต้องเข้าไปลบเองหรืออัปเดต iTunes เป็นเวอร์ชันล่าสุดเพื่อให้แน่ใจว่า Bonjour จะถูกอัปเดตไปด้วย

ที่มา :  https://www.zdnet.com/article/ransomware-gang-uses-itunes-zero-day/ และ  https://www.securityweek.com/itunes-zero-day-vulnerability-exploited-bitpaymer-ransomware


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนพบ P2P Botnet ใช้ช่องโหว่ Webmin แนะนำผู้ใช้เร่งอัปเดต

Qihoo 360 ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ประกาศเตือน Botnet ที่ชื่อ Roboto ซึ่งจุดเด่นคือโครงสร้างเป็น Peer-to-peer และกำลังขยายฐานการโจมตีในวงกว้าง โดยอาศัยช่องโหว่ของ Webmin หมายเลข CVE-2019-15107

พบช่องโหว่ร้ายแรงใน Plugin WordPress ‘Jetpack’ แนะนำรีบอัปเดต

มีการประกาศออกแพตช์ช่องโหว่ร้ายแรงให้ Plugin ยอดนิยมในด้าน Security บน WordPress ที่ชื่อ Jetpack ดังนั้นจึงแนะนำให้ผู้ใช้งานเร่งอัปเดต