Falha Zero Day no iTunes é usada para ataques de ransomware

Falha Zero Day no iTunes é usada para ataques de ransomware

11 de outubro de 2019 0 Por Clayton Lima

O iTunes, software de gerenciamento de mídia da Apple, pode estar em seus dias finais, mas isso não desobriga a fabricante americana de reavaliar a sua segurança: segundo pesquisadores de segurança da empresa Morphisec, o icônico programa que sincronizava dispositivos da marca tinha uma falha Zero Day que permitia a hackers propagarem ataques ransomware sem acionar as defesas dos antivírus e outros sistemas de proteção. A Apple foi notificada e prontamente fechou a brecha.

A falha residia no serviço conhecido como Bonjour, uma função de autoconfiguração presente no iTunes e no iCloud, em suas versões para Windows. À ela, é atribuída o nome de “unquoted service path” (“rota de serviço não citada”, na tradução literal): basicamente, um desenvolvedor esqueceu de colocar parte do código-fonte entre aspas, o que, quando falamos de um programa confiável e assinado digitalmente por uma empresa de grande porte como a Apple, faz com que hackers executem ações que softwares de proteção marcariam como suspeitos em outras situações.

Esse tipo de falha, aliás, vem sendo encontrada com certa frequência em outros softwares: o Ars Technica menciona especificamente um driver gráfico da Intel e os programas de conexão privada (VPN) ExpressVPN e ForcepointVPN.


Podcast Canaltech: de segunda a sexta-feira, você escuta as principais manchetes e comentários sobre os acontecimentos tecnológicos no Brasil e no mundo. Links aqui: https://canaltech.com.br/360/

Ataque de ransomware afetava o iTunes e o iCloud em suas versões para Windows

Segundo a Morphisec, via CTO Michael Goelik: “Como muitas soluções de detecção são baseadas no monitoramento de comportamento, a cadeia de execução de processos tem um papel essencial na fidelidade dos alertas. Se um processo legítimo é assinado por um fornecedor reconhecido e executa um processo malicioso, um alerta associado terá uma graduação menor de confiança que teria diante da ausência de assinatura de tal fornecedor. Como o Bonjour é assinado e reconhecido, o invasor usa isso para a sua vantagem. Ademais, fornecedores de segurança minimizam conflitos desnecessários com aplicações mais conhecidas, então eles não vão prevenir isso por medo de causar disrupções nas operações”.

Em outras palavras: se a falha fosse executada dentro de um programa sem reconhecimento, seu antivírus detectaria a invasão. Mas por ser a Apple e o seu iTunes, o antivírus confia nessas marcas e ignora o problema.

A Morphisec identificou, há meses, que ataques de Ransomware vinham sendo executados em uma montadora automotiva americana (cujo nome não foi divulgado), eventualmente culminando na instalação de um vírus chamado “BitPaymer”.

Apple corrigiu vulnerabilidade no iTunes e iCloud, pedindo que usuários baixem o novo patch

Gorelik explicou ainda que esse tipo de execução não é exibida como um arquivo de extensão executável (“.exe”). Logo, programas de segurança não farão o devido monitoramento, haja vista que seu funcionamento limita a algumas extensões de arquivo para evitar o “gargalo” na memória da máquina. Por isso, o iTunes tentava rodar normalmente, mas ao ler esse código não citado, acabava executando o BitPaymer.

A Morphisec, segundo o CTO, notificou a Apple em agosto de 2019. A vulnerabilidade foi corrigida pela empresa por meio de um patch de segurança transmitido para atualização nessa última segunda-feira, 7 de outubro. A atualização vale para o iTunes (versão 12.10.1) e o iCloud (versão 7.14) no Windows. Os usuários que os tiverem instalados devem assegurar a ativação dos updates automáticao para receberem o patch.

Leia a matéria no Canaltech.

Trending no Canaltech: