Віруси-вимагачі BitPaymer та iEncrypt використовують вразливість нульового дня, що впливає на маловідомий компонент Bonjour, який постачається в комплекті з програмним забезпеченням iTunes та iCloud Apple для уникнення антивірусного виявлення. Про це пише TheHackerNews.
Уразливий компонент – оновлення Bonjour, реалізація нульової конфігурації протоколу мережевого зв’язку, яка безшумно працює у фоновому режимі та автоматизує різні мережеві завдання низького рівня, включаючи автоматичне завантаження майбутніх оновлень програмного забезпечення Apple. Зауважимо, оскільки оновлення Bonjour інсталюється як окрема програма в системі, видалення iTunes та iCloud не видаляє Bonjour, через що він залишається встановленим на багатьох комп’ютерах Windows – без оновлення та безшумно працює у фоновому режимі.
Дослідники з кібербезпеки з лабораторій Morphisec виявили експлуатацію у Bonjour вразливості нульового дня у серпні, коли зловмисники заразили неназване підприємство в автомобільній промисловості вірусом-вимагачем BitPaymer.
Компонент Bonjour виявився беззахисним перед вразливістю маршруту служби із закритими лапками, загальної вади безпеки програмного забезпечення, яка виникає, коли шлях виконуваного файлу містить пробіли у імені файлу та не вкладається у відповідні лапки (“”).
Уразливість маршруту служби із закритими лапками може бути використана, коли шкідливий виконуваний файл потрапляє у шлях вищого рівня, таким чином використовуючи законні та надійні програми для виконання шкідливих програм для підтримки стійкості та ухилення від виявлення.
“У цьому сценарії Bonjour намагався запуститися з папки Program Files, але через шлях із закритими лапками він замість цього запустив вірус-вимагач BitPaymer, оскільки його назвали Program, – заявили дослідники. Оскільки багато рішень для виявлення базуються на моніторингу поведінки, ланцюжок виконання процесів (вищий-нижчий рівні) відіграє головну роль у вірності сповіщення. Якщо законний процес, підписаний відомим постачальником, виконує новий шкідливий дочірній процес, відповідне сповіщення матиме нижчий показник довіри, ніж це було б, якби програма вищого рівня не була легальною. Оскільки Bonjour – легальна програма, противник використовує це на свою користь”.
Окрім уникнення виявлення, в деяких випадках вразливістю маршруту служби із закритими лапками можуть зловживати для ескалації привілеїв, коли вразлива програма має права працювати на більш високих привілеях.
Однак у цьому конкретному випадку Bonjour з вразливістю нульового дня не дозволив BitPaymer отримати права SYSTEM на заражених комп’ютерах. Але це дозволило шкідливому ПЗ ухилятися від загальних засобів виявлення шкідливих програм, заснованих на моніторингу поведінки, оскільки компонент Bonjour є легальною програмою.
Відразу після виявлення нападу дослідники Morphisec Labs повідомили про атаки компанію Apple, яка щойно випустила iCloud для Windows 10.7, iCloud для Windows 7.14 та iTunes 12.10.1 для усунення вразливості. Користувачам Windows, у яких встановлена система iTunes або/та iCloud, рекомендується оновити програмне забезпечення до останніх версій.
Якщо Ви будь-коли інсталювали на комп’ютері під Windows одну із цих програм Apple, а потім видалили його, слід перевірити список встановлених програм у вашій системі для оновлення Bonjour та видалити його вручну.
Нагадаємо, компанія Google додала в Chrome Canary нову експериментальну функцію, яка надає користувачам можливість видалити сторонні файли cookie в браузері.
Також співробітники дослідницького інституту Fraunhofer-Institut für Sichere Informationstechnologie (Німеччина) попередили про уразливість в старому коді API Twitter, який як і раніше використовується популярними мобільними iOS-додатками.
Окрім цього, Facebook додала у Instagram нову функцію безпеки для захисту від фішингових атак. Відтепер, отримавши повідомлення від Instagram, користувачі зможуть перевіряти, чи насправді його прислала компанія, або це приманка фішерів.
Зверніть увагу, що у Opera 64 з’явився блокувальник трекерів, вмикати та вимикати який можна в меню “Просте налаштування” і в налаштуваннях браузера.
До речі, компанія Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів. В цілому було виправлено 59 уразливостей в Windows і пов’язаному ПЗ, 9 з яких є критичними, 49 – небезпечними і 1 – середньої небезпеки.
