Apple iTunes và iCloud trên Windows chứa lỗ hổng bảo mật bị tấn công tống tiền

Trong thông tin mới nhất từ The Hacker News, người dùng Windows đang sử dụng phần mềm iCloud và iTunes đang chứa lỗ hổng bảo mật zeroday, bị khai thác bởi nhóm tội phạm mạng trong các vụ tấn công tống tiền.

Nhóm tội phạm mạng đằng sau vụ tấn công tống tiền BitPaymer và iEncrypt đã bị tìm thấy khi đang khai tác lỗ hổng bảo mật zeroday ảnh hưởng một số tác nhân bên trong phần mềm iTunes và iCloud dành cho hệ điều hành Windows để qua mặt sự phát hiện của những phần mềm diệt virus.

Thành phần dễ bị tổn thương đang nằm trong vòng nghi vấn là trình cập nhật Bonjour, một cấu hình giao thức kết nối mạng hoạt động âm thầm trong nền và tự động hóa các tác vụ mạng cấp thấp khác nhau, bao gồm việc tải các bản cập nhật mới nhất cho phần mềm Apple.

Từ khi trình cập nhật Bonjour nhận các bản cài đặt từ các phần mềm riêng lẻ trên hệ thống, gỡ cài đặt iTunes và iCloud không thể gỡ được Bonjour, đây là lý do mà cuối cùng trình cập nhật này vẫn tồn tại trên rất nhiều máy tính sử dụng hệ điều hành Windows – không cập nhật nhưng vẫn lặng thầm khởi chạy nền trong hệ thống.

Các chuyên gia bảo mật từ Morphisec Labs đã phát hiện vụ khai thác lỗ hổng bảo mật zeroday bên trong Bonjour từ tháng Tám, khi các kẻ tấn công nhắm mục tiêu vào một doanh nghiệp không tên bằng mã độc tống tiền BitPaymer.

Thành phần Bonjour được tìm thấy dễ tổn thương trong đường dẫn dễ tổn thương cung cấp dịch vụ không được trích dẫn, lỗ hổng bảo mật phổ biến xảy ra khi đường dẫn của tệp thực thi chứa các khoản trắng trong tên tệp tin và không được đặt trong thẻ trích dẫn.

Lỗ hổng đường dẫn dịch vụ không được trích dẫn có thể được khai thác bằng cách đưa tệp thực thi độc hại vào đường dẫn cha mẹ, lừa các ứng dụng hợp pháp và đáng tin cậy để thực thi các chương trình độc hại để duy trì tồn tại và không bị phát hiện.

Bên cạnh việc né khỏi sự phát hiện của các phần mềm bảo mật, lỗ hổng đường dẫn dịch vụ cũng có thể bị lạm dụng để chiếm đặc quyền khi các phần mềm dễ bị tổn thương có những đặc quyền cao hơn.

Tuy nhiên, trong một số trường hợp cụ thện, lỗ hổng zeroday Bonjour đã không cho phép mã độc tống tiền BitPaymer giành quyền hệ thống trên các máy tính bị nhiễm. Nhưng nó đã cho phép mã độc tránh sự phát hiện của các giải pháp bảo mật cơ bản thông qua phát hiện hành vi thì Boujour vẫn xuất hiện như một ứng dụng hợp pháp.

Ngay sau khi phát hiện vụ tấn công, nhà nghiên cứu bảo mật đã nhanh chóng cảnh báo chi tiết vụ tấn công cho Apple và ngày 9/10, Apple đã phát hành bản cập nhật iCloud dành cho Windows 10.7, iCloud cho Windows 7.14 và iTunes 12.10.1 cho Windows để vá lỗi này.

Người dùng nên nhanh chóng cập nhật phiên bản phần mềm mới nhất để bảo vệ hệ thống của mình. Nếu bạn đã gỡ các ứng dụng trên, bạn cũng nên kiểm tra trên các ứng dụng đã cài đặt xem có Bonjour không và ngay lập tức gỡ ra khỏi hệ thống.

Minh Hương