Apple iTunes and iCloud for Windows 0-Day Exploited in Ransomware Attacks

Source for https://thehackernews.com/2019/10/apple-bonjour-ransomware.html

Apple iTunes and iCloud for Windows 0-Day Exploited in Ransomware Attacks

October 10, 2019 Mohit Kumar

Watch out Windows users!

Windows 사용자를 조심하십시오!

The cybercriminal group behind BitPaymer and iEncrypt ransomware attacks has been found exploiting a zero-day vulnerability affecting a little-known component that comes bundled with Apple's iTunes and iCloud software for Windows to evade antivirus detection.

BitPaymer 및 iEncrypt 랜섬웨어 공격의 사이버 범죄 그룹은 안티 바이러스 탐지를 피하기 위해 Windows 용 Apple iTunes 및 iCloud 소프트웨어와 함께 제공되는 거의 알려지지 않은 구성 요소에 영향을 미치는 제로 데이 취약점을 악용하는 것으로 밝혀졌습니다.

The vulnerable component in question is the Bonjour updater, a zero-configuration implementation of network communication protocol that works silently in the background and automates various low-level network tasks, including automatically download the future updates for Apple software.

문제의 취약한 구성 요소 는 백그라운드에서 자동으로 작동하고 Apple 소프트웨어의 향후 업데이트를 자동으로 다운로드하는 등 다양한 저수준 네트워크 작업을 자동화하는 네트워크 통신 프로토콜의 제로 구성 구현 인 Bonjour 업데이터입니다.

To be noted, since the Bonjour updater gets installed as a separate program on the system, uninstalling iTunes and iCloud doesn't remove Bonjour, which is why it eventually left installed on many Windows computers — un-updated and silently running in the background.

참고로 Bonjour 업데이터는 시스템에 별도의 프로그램으로 설치되기 때문에 iTunes 및 iCloud를 제거해도 Bonjour가 제거되지 않으므로 많은 Windows 컴퓨터에 설치되지 않은 채 업데이트되지 않고 백그라운드에서 자동으로 실행됩니다.

Cybersecurity researchers from Morphisec Labs discovered the exploitation of the Bonjour zero-day vulnerability in August when the attackers targeted an unnamed enterprise in the automotive industry the BitPaymer ransomware.

Morphisec Labs의 사이버 보안 연구자들은 공격자가 자동차 산업에서 이름없는 기업인 BitPaymer 랜섬웨어를 겨냥한 8 월 Bonjour 제로 데이 취약점의 악용을 발견했습니다.

 

Unquoted Service Path Vulnerability in Apple's Bonjour Service

Apple Bonjour 서비스의 인용되지 않은 서비스 경로 취약점

The Bonjour component was found vulnerable to the unquoted service path vulnerability, a common software security flaw that occurs when the path of an executable contains spaces in the filename and is not enclosed in quote tags ("").

Bonjour 구성 요소는 인용되지 않은 서비스 경로 취약점, 실행 파일 경로에 파일 이름에 공백이 포함되고 따옴표 태그 ( "")로 묶이지 않을 때 발생하는 일반적인 소프트웨어 보안 결함에 취약한 것으로 확인되었습니다.

The unquoted service path vulnerability can be exploited by planting a malicious executable file to the parent path, tricking legitimate and trusted applications into executing malicious programs to maintain persistence and evade detection.

인용되지 않은 서비스 경로 취약성은 악의적 인 실행 파일을 상위 경로에 심어 합법적이고 신뢰할 수있는 응용 프로그램을 속여 유지하고 탐지를 피하기 위해 악성 프로그램을 실행하도록 악용함으로써 악용 될 수 있습니다.

"In this scenario, Bonjour was trying to run from the Program Files folder, but because of the unquoted path, it instead ran the BitPaymer ransomware since it was named Program," the researchers said.

"이 시나리오에서 Bonjour는 Program Files 폴더에서 실행하려고했지만 인용되지 않은 경로 때문에 대신 BitPaymer 랜섬웨어가 Program이라는 이름으로 실행되었습니다 . "라고 연구원들은 말했습니다 .

"As many detection solutions are based on behavior monitoring, the chain of process execution (parent-child) plays a major role in alert fidelity. If a legitimate process signed by a known vendor executes a new malicious child process, an associated alert will have a lower confidence score than it would if the parent was not signed by a known vendor."

"많은 탐지 솔루션이 행동 모니터링을 기반으로하기 때문에 프로세스 실행 체인 (부모-자식)이 경보 충실도에서 중요한 역할을합니다. 알려진 벤더가 서명 한 합법적 인 프로세스가 새로운 악성 자식 프로세스를 실행하면 관련 경보는 알려진 공급 업체가 부모에게 서명하지 않은 경우보다 신뢰도가 낮습니다. "

"Since Bonjour is signed and known, the adversary uses this to their advantage."
"Bonjour가 서명되고 알려 졌기 때문에, 대적은 이것을 이점으로 사용합니다."

Besides escaping from the detection, in some cases, the unquoted service path vulnerability could also be abused to escalate privileges when the vulnerable program has the rights to run under higher privileges.

탐지에서 벗어나는 것 외에도 취약한 프로그램이 더 높은 권한으로 실행될 권한이있는 경우 인용되지 않은 서비스 경로 취약점이 권한을 에스컬레이션하기 위해 남용 될 수도 있습니다.

However, in this particular case, the Bonjour zero-day didn't allow the BitPaymer ransomware to gain SYSTEM rights on the infected computers. But it did allow the malware to evade common detection solutions that are based on behavior monitoring because the Bonjour component appears like a legitimate process.

그러나이 특별한 경우 Bonjour 제로 데이는 BitPaymer 랜섬웨어가 감염된 컴퓨터에 대한 시스템 권한을 얻도록 허용하지 않았습니다. 그러나 Bonjour 구성 요소가 합법적 인 프로세스처럼 보이기 때문에 맬웨어가 동작 모니터링을 기반으로하는 일반적인 탐지 솔루션을 피할 수있었습니다.

Security Patches Released (iTunes / iCloud for Windows)

보안 패치 출시 (iTunes / iCloud for Windows)

Immediately after discovering the attack, researchers at Morphisec Labs responsibly shared the details of the attack with Apple, who just yesterday released iCloud for Windows 10.7, iCloud for Windows 7.14, and iTunes 12.10.1 for Windows to address the vulnerability.

Morphisec Labs의 연구원들은 공격을 발견 한 직후, 어제이 취약점을 해결하기 위해 iCloud for Windows 10.7 , iCloud for Windows 7.14 및 iTunes 12.10.1을 릴리스 한 Apple과 공격 세부 정보를 책임감있게 공유했습니다 .

Windows users who have iTunes or/and iCloud installed on their system are highly recommended to update their software to the latest versions.

시스템에 iTunes 또는 iCloud가 설치되어있는 Windows 사용자는 소프트웨어를 최신 버전으로 업데이트하는 것이 좋습니다.

In case you ever had installed one of these Apple software on your Windows computer and then uninstalled it, you should check the list of installed applications on your system for the Bonjour updater and uninstall it manually.

Windows 컴퓨터에 이러한 Apple 소프트웨어 중 하나를 설치했다가 제거한 경우 시스템에 설치된 응용 프로그램 목록에서 Bonjour 업데이터를 확인하고 수동으로 제거해야합니다.