Windows版iTunes零時差漏洞遭用以散佈BitPaymer勒索軟體 文/林妍溱 | 2019-10-11發表 安全研究人員發現駭客利用Windows版iTunes及iCloud for Windows中的零時差攻擊漏洞 ，躲過防毒軟體偵測、對Windows PC用戶散佈勒索程式BitPaymer。 安全公司Morphisec Labs首先在8月發現BitPaymer感染一家汽車製造商。BitPaymer在7月 間被偵測到在美國感染15家企業。但本波攻擊中，這隻勒索程式使用的路徑是一個「不帶 引號的服務路徑（Unquoted service Path）」零時差漏洞，存在於Windows版iTunes及 iCloud for Windows的Bonjour Updater軟體元件中。 研究人員指出，這類漏洞是物件導向程式開發中常見的錯誤，有時開發人員以為服務路徑 派發變項時，只使用String型態的變數就夠了，但實際上路徑還需要加上引號（quote） 標示，如"\\"。攻擊者可以用惡意檔案來置換原有可執行檔，這類漏洞過去在VPN軟體研 究很知名，因為它出現在具管理員權限的服務或其他行程，可被用以發動權限升級攻擊， 但並未被廣為使用。 MorphiSec發現駭客界利用蘋果Bonjour Updater來攻擊這項漏洞。Bonjour Updater是包 含在蘋果app中用於下載更新的機制，包括iTunes。但它有自己獨特的安裝入口和執行作 業排程。鮮為人知的是，移除iTunes並不會同時移除Bonjour，它必須分開移除。因此許 多企業電腦即使多年前移除了iTunes，電腦上還有未更新，但仍持續背景運作的Bonjour 。 Bonjour屬於合法行程，通常會被安全軟體如防毒程式掃瞄引擎忽略，使其下惡意子行程 ，也不會觸發警告，像是MorphiSec這次發現的BitPaymer。 mac版iTunes已隨著最新的macOS Catalina釋出退役，Windows版iTunes，以及Windows 版 iCloud app用戶是這項漏洞及BitPaymer的高風險群。在MorphiSec向蘋果通報後，蘋果已 經發佈修補漏洞的Windows版iTunes 12.10.1 及 iCloud for Windows 10.7。 由於已有攻擊發生中，安全公司也呼籲用戶儘速升級到最新版程式及防毒軟體。 https://www.ithome.com.tw/news/133574 所以未來要移除iTunes的話還是要把Bonjour的服務一起移除 但其他外媒只有說在Windows版本有這個漏洞。Mac上的舊版iTunes沒有這個問題 -- 標題 [新聞] 狂！大谷翔平敲三分砲 大聯盟首轟震撼美 時間 Wed Apr 4 11:36:35 2018 2018/04/05 [新聞]大谷翔平連2場開轟　今天苦主是去年賽揚投手 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1571122427.A.0BC.html ※ 編輯: hn9480412 (122.116.4.227 臺灣), 10/15/2019 14:55:31