La société de sécurité Morphisec a identifié un bogue « zero-day » dans l’utilitaire de mise à jour logicielle d’Apple qui est fourni avec iTunes pour Windows. La faille permettait aux attaquants d’installer un logiciel rançon sur les machines vulnérables.
Les programmeurs Apple font des erreurs de codage
Selon les chercheurs, les attaquants ont utilisé un « chemin non cité » pour installer le logiciel rançon et ne sont pas détectés. Une vulnérabilité de chemin de service non citée est créée lorsqu’un service a un chemin exécutable avec des espaces et n’est pas entouré de guillemets. Cela se produit souvent lorsque le développeur oublie d’inclure le chemin du fichier dans les guillemets.
Les attaquants ont abusé de cette faille pour créer des processus enfants malveillants sous des processus parents de confiance et signés numériquement. Cela leur a permis de contourner la protection antivirus parce que ce genre de comportement n’est généralement pas considéré comme dangereux par les fournisseurs d’antivirus en raison de toutes les fausses alarmes potentielles qu’il pourrait autrement créer.
Le bogue de chemin non cité n’est pas souvent vu dans la nature, mais il a été trouvé dans d’autres logiciels populaires, tels que le pilote graphique Intel, ExpressVPN, et ForcePointVPN. La raison pour laquelle cela n’arrive pas souvent est que les programmeurs en sont généralement bien conscients. Cependant, la faille a atterri d’une manière ou d’une autre dans l’une des bibliothèques logicielles les plus utilisées d’Apple.
Apple a également répété l’une des erreurs récentes de Zoom, à savoir laisser l’utilitaire de mise à jour installé sur les machines des utilisateurs, même si ces derniers désinstallent le logiciel principal. Les chercheurs ont découvert que bien que le logiciel iTunes ait été désinstallé sur de nombreuses machines il y a des années, l’utilitaire de mise à jour est resté en place, laissant ainsi les utilisateurs exposés à ce type d’attaque zero-day.
Bug exploité dans la nature pour installer BitPaymer Ransomware
Le bogue n’est pas seulement théorique, car les chercheurs de Morphisec ont découvert que les attaquants l’utilisaient pour installer le logiciel de rançon BitPaymer sur les machines Windows d’une société automobile non identifiée en août dernier.
L’exploit permettait aux pirates d’exécuter un fichier malveillant appelé « Program », qui pouvait déjà exister sur le réseau de l’entreprise automobile. Le fichier n’utilisait pas d’extension.exe, ce qui lui permettait également d’éviter les scanners antivirus.
L’utilitaire de mise à jour d’Apple essayait de s’exécuter à partir de « Program Files », mais au lieu de cela il a lancé le fichier malveillant « Program », parce qu’Apple n’a pas inclus le chemin de fichier de son logiciel entre guillemets.
Morphisec a immédiatement averti Apple du bug en août. La société a corrigé la faille lundi dans iTunes 12.10.1 pour Windows et iCloud pour Windows 7.14. Morphisec s’est plaint sur son site Web qu’Apple n’a pas encore corrigé d’autres bogues similaires que la société de sécurité a déjà signalés à Apple