¡Cuidado usuarios de Windows!
Se descubrió que el grupo de ciberdelincuentes detrás de los ataques de ransomware BitPaymer e iEncrypt explota una vulnerabilidad de día cero que afecta a un componente poco conocido que viene incluido con el software iTunes e iCloud de Apple para Windows para evadir la detección antivirus.
El componente vulnerable en cuestión es el Hola actualizador, una implementación de configuración cero del protocolo de comunicación de red que funciona de forma silenciosa en segundo plano y automatiza varias tareas de red de bajo nivel, incluida la descarga automática de futuras actualizaciones para el software de Apple.
Cabe señalar que, dado que el actualizador de Bonjour se instala como un programa separado en el sistema, la desinstalación de iTunes e iCloud no elimina Bonjour, razón por la cual finalmente se dejó instalado en muchas computadoras con Windows, sin actualizar y ejecutándose silenciosamente en segundo plano.
Los investigadores de seguridad cibernética de Morphisec Labs descubrieron la explotación de la vulnerabilidad de día cero de Bonjour en agosto cuando los atacantes se dirigieron a una empresa no identificada en la industria automotriz, el ransomware BitPaymer.
Vulnerabilidad de ruta de servicio sin comillas en el servicio Bonjour de Apple
Se encontró que el componente Bonjour era vulnerable a la vulnerabilidad de la ruta de servicio sin comillas, una falla de seguridad de software común que ocurre cuando la ruta de un ejecutable contiene espacios en el nombre del archivo y no está entre comillas («»).
La vulnerabilidad de la ruta de servicio sin comillas se puede explotar plantando un archivo ejecutable malicioso en la ruta principal, engañando a las aplicaciones legítimas y confiables para que ejecuten programas maliciosos para mantener la persistencia y evadir la detección.
«En este escenario, Bonjour intentaba ejecutarse desde la carpeta Archivos de programa, pero debido a la ruta sin comillas, ejecutó el ransomware BitPaymer, ya que se llamaba Programa», dijeron los investigadores.
«Dado que muchas soluciones de detección se basan en el monitoreo del comportamiento, la cadena de ejecución del proceso (principal-secundario) juega un papel importante en la fidelidad de las alertas. Si un proceso legítimo firmado por un proveedor conocido ejecuta un nuevo proceso secundario malicioso, una alerta asociada tendrá una puntuación de confianza más baja que si el padre no estuviera firmado por un proveedor conocido».
«Dado que Bonjour está firmado y conocido, el adversario usa esto para su beneficio».
Además de escapar de la detección, en algunos casos, la vulnerabilidad de ruta de servicio sin comillas también podría abusarse para escalar privilegios cuando el programa vulnerable tiene los derechos para ejecutarse con privilegios más altos.
Sin embargo, en este caso particular, el día cero de Bonjour no permitió que el ransomware BitPaymer obtuviera derechos de SISTEMA en las computadoras infectadas. Pero permitió que el malware evadiera las soluciones de detección comunes que se basan en el monitoreo del comportamiento porque el componente Bonjour parece un proceso legítimo.
Lanzamiento de parches de seguridad (iTunes / iCloud para Windows)
Inmediatamente después de descubrir el ataque, los investigadores de Morphisec Labs compartieron responsablemente los detalles del ataque con Apple, quien ayer lanzó iCloud para Windows 10.7, iCloud para Windows 7.14 e iTunes 12.10.1 para Windows para abordar la vulnerabilidad.
Se recomienda encarecidamente a los usuarios de Windows que tengan instalado iTunes o iCloud en su sistema que actualicen su software a las últimas versiones.
En caso de que alguna vez haya instalado uno de estos programas de Apple en su computadora con Windows y luego lo haya desinstalado, debe verificar la lista de aplicaciones instaladas en su sistema para el actualizador de Bonjour y desinstalarlo manualmente.
