Специалисты компании MorphiSec обнаружили, что операторы шифровальщика BitPaymer используют для распространения своей малвари уязвимость нулевого дня в iTunes для Windows, что позволяет обмануть антивирусные решения на зараженных хостах. Проблему обнаружили, изучая атаку на неназванное предприятие автомобильной промышленности, которое пострадало от BitPaymer в августе текущего года.
Инженеры Apple уже устранили проблему, на этой неделе представив обновленные версии iTunes для Windows и iCloud для Windows. Корень уязвимости заключался в работе компонента для обновлений Bonjour, который поставляется в составе обоих продуктов. Баг позволял злоумышленникам запустить Bonjour, а затем вмешаться в его работу, подделав путь выполнения таким образом, чтобы тот указывал на BitPaymer, вместо нужных файлов. Хотя эта уязвимость не позволяла получить права администратора, она успешно помогала обмануть установленное локально защитное ПО.
При этом исследователи предупреждают, что простого обновления iTunes для Windows и iCloud для Windows может быть недостаточно. Дело в том, что компонент Bonjour остается установлен в Windows даже после полного удаления iTunes или iCloud для Windows. То есть пользователи, ранее использовавшие эти приложения, но потом удалившие их, все равно уязвимы перед свежей 0-day уязвимостью. Для исправления проблемы придется либо удалить Bonjour вручную, либо установить новейшую, безопасную версию iTunes для Windows, чтобы точно обновить старую версию компонента.