Morphisec的研究人员周四报告称，沐鸣开户Q554258攻击者利用苹果iTunes和iCloud程序的zeroday漏洞，在没有触发反病毒保护的情况下，用勒索软件感染Windows电脑。本周早些时候，苹果公司修补了这一漏洞。

 

据一篇博客文章称，这个漏洞存在于Windows的iTunes和iCloud所依赖的Bonjour组件中。这个bug被称为未引用的服务路径，顾名思义，当开发人员忘记用引号括住文件路径时，就会发生这种情况。当漏洞出现在一个可信的程序中，比如一个由著名的开发者如苹果公司签名的程序，攻击者可以利用这个漏洞使程序执行代码，否则反病毒保护可能标记为可疑的。

 

Morphisec公司首席技术官迈克尔·戈里利克是这样解释的:

 

由于许多检测解决方案是基于行为监视的，流程执行链(父-子)在警报保真度中起着重要作用。如果由已知供应商签名的合法进程执行一个新的恶意子进程，那么与未由已知供应商签名的父进程相比，关联的警报的置信度得分将较低。由于Bonjour的签名和知名度，对手利用这一点对他们有利。此外，安全供应商试图最小化与已知软件应用程序的不必要冲突，因此他们不会阻止这种行为，因为担心会破坏操作。

 

其他程序中也发现了未引用的路径漏洞，包括Intel图形驱动程序、ExpressVPN和Forcepoint VPN。

 

今年8月，Morphisec发现攻击者利用这一漏洞，在汽车行业一家身份不明的公司的电脑上安装了名为BitPaymer的勒索软件。该漏洞允许攻击者执行一个名为“程序”的恶意文件，该文件可能已经在目标的网络上。

 

Gorelik继续说:

 

另外，恶意的“程序”文件没有扩展名，例如“.exe”。这意味着AV产品可能不会扫描文件，因为这些产品往往只扫描特定的文件扩展名，以限制对机器的性能影响。在这个场景中，Bonjour试图从“程序文件”文件夹中运行，但是由于没有引用路径，它运行的是BitPaymer勒索软件，因为它被命名为“程序”。这就是zero-day如何能够逃避检测并绕过AV的原因。

 

Gorelik表示，Morphisec公司在8月份发现这一漏洞后，“立即”通知了苹果公司。周一，苹果修补了iTunes 12.10.1(适用于Windows)和iCloud(适用于Windows 7.14)的漏洞。安装了这两个应用程序的Windows用户应该确保自动更新工作正常。Gorelik在一封电子邮件中说，他的公司报告了苹果尚未修补的其他漏洞。苹果公司代表没有回复要求对本文置评的电子邮件。

 

更重要的是，任何曾经安装过iTunes，后来又卸载了iTunes的人都应该检查自己的电脑，确保Bonjour也被删除了。这是因为iTunes的卸载程序不会自动删除Bonjour。

 

Gorelik写道:“一项调查结果显示，Bonjour更新器安装在不同企业的大量计算机上，我们对此感到惊讶。”“许多电脑多年前就已经卸载了iTunes，而Bonjour组件仍然保持沉默，没有更新，仍然在后台工作。”

 

旁白:Gorelik将Bonjour描述为“苹果用来发布未来更新的机制”。与此同时，苹果公司和许多其他公司表示，沐鸣开户测速这是苹果应用程序用来在本地网络上查找共享音乐库和其他资源的一种服务。Gorelik在一封电子邮件中说，Bonjour兼具这两种功能。

 

此外，在具体的攻击中，Bonjour正在执行位于C:\\Program Files (x86)\\Apple SoftwareUpdate \\SoftwareUpdate下的SoftwareUpdate可执行文件。C:\\Program 'Files' (x86)\\Apple' 'Software' 'Update\\ \SoftwareUpdate。exe’,”他写道。他接着说，苹果开发者“还没有修复我们报告的所有漏洞，只有被攻击者滥用的漏洞。”