Cyberthreat.id - Kelompok cybercriminal di belakang serangan ransomware BitPaymer dan iEncrypt telah ditemukan mengeksploitasi kerentanan zero-day yang mempengaruhi komponen yang tidak dikenal yang dibundel dengan perangkat lunak iTunes dan iCloud Apple untuk Windows menghindari deteksi antivirus.

Komponen rentan yang dimaksud adalah Bonjour updater, implementasi nol-konfigurasi protokol komunikasi jaringan yang bekerja secara diam-diam di background dan mengotomatiskan berbagai tugas jaringan tingkat rendah, termasuk secara otomatis mengunduh pembaruan di masa mendatang untuk perangkat lunak Apple.

Yang perlu dicatat, The Hacker News menuliskan, karena Bonjour updater diinstal sebagai program terpisah pada sistem, menghapus iTunes dan iCloud tidak menghapus Bonjour, itulah sebabnya ia akhirnya diinstal pada banyak komputer Windows - tidak diperbarui dan diam-diam berjalan di background.

Peneliti cybersecurity dari Morphisec Labs menemukan eksploitasi kerentanan zero-day Bonjour pada Agustus ketika para penyerang menargetkan perusahaan yang tidak disebutkan namanya di industri otomotif BitPaymer ransomware.

Kerentanan Layanan Bonjour Apple

Komponen Bonjour ditemukan rentan terhadap kerentanan jalur layanan tanpa tanda kutip, cacat keamanan perangkat lunak umum yang terjadi ketika jalur executable berisi spasi dalam nama file dan tidak terlampir dalam tanda kutip ("").

Kerentanan jalur layanan dapat dieksploitasi dengan menanam file yang dapat dieksekusi berbahaya ke jalur induk, mengelabui aplikasi yang sah dan tepercaya dalam menjalankan program jahat untuk mempertahankan kegigihan dan menghindari deteksi.

"Dalam skenario ini, Bonjour sedang mencoba menjalankan dari folder Program Files, tetapi karena jalur yang tidak dikutip, itu menjalankan ransomware BitPaymer karena bernama Program," kata para peneliti kepada The Hacker News.

"Karena banyak solusi deteksi didasarkan pada pemantauan perilaku, rantai eksekusi proses (orang tua-anak) memainkan peran utama dalam kesetiaan lansiran. Jika proses yang sah yang ditandatangani oleh vendor yang dikenal mengeksekusi proses anak jahat baru, peringatan terkait akan memiliki skor kepercayaan yang lebih rendah daripada jika orangtua tidak ditandatangani oleh vendor yang dikenal."

"Karena Bonjour ditandatangani dan dikenal, musuh menggunakan ini untuk keuntungan mereka."

Selain lolos dari deteksi, dalam beberapa kasus, kerentanan jalur layanan ini juga dapat disalahgunakan untuk meningkatkan hak istimewa ketika program rentan memiliki hak untuk berjalan di bawah hak istimewa yang lebih tinggi.

Namun, dalam kasus khusus ini, Bonjour zero-day tidak mengizinkan ransomware BitPaymer untuk mendapatkan hak SYSTEM pada komputer yang terinfeksi. Tapi itu memang memungkinkan malware menghindari solusi deteksi umum yang didasarkan pada pemantauan perilaku karena komponen Bonjour tampak seperti proses yang sah.

Patch Keamanan Dirilis

Segera setelah menemukan serangan itu, para peneliti di Morphisec Labs secara bertanggung jawab berbagi rincian serangan dengan Apple, yang baru saja merilis iCloud untuk Windows 10.7, iCloud untuk Windows 7.14, dan iTunes 12.10.1 untuk Windows untuk mengatasi kerentanan.

Pengguna Windows yang memiliki iTunes atau / dan iCloud diinstal pada sistem mereka sangat disarankan untuk memperbarui perangkat lunak mereka ke versi terbaru.

Jika Anda pernah menginstal salah satu perangkat lunak Apple ini di komputer Windows Anda dan kemudian mencopotnya, Anda harus memeriksa daftar aplikasi yang diinstal pada sistem Anda untuk Bonjour updater dan menghapusnya secara manual. []