Secondo quanto riportato dai ricercatori di Morphisec, gli aggressori hanno sfruttato una vulnerabilità zeroday nei programmi Apple iTunes e iCloud per infettare i computer Windows con un ransomware che, sfruttando queste app attendibili come vettore d'ingresso, ha evitato di innescare protezioni antivirus

Vulnerabilità iTunes: installato ransomware - FrShot_1570774581

In un post del blog si legge che la vulnerabilità risiedeva nel componente Bonjour, impiegato sia da iTunes che da iCloud per Windows. Il bug è noto come unquoted path vulnerability (percorso di servizio non quotato) e si verifica quando uno sviluppatore dimentica di racchiudere un percorso di file tra virgolette. Quando il bug si trova in un programma attendibile, gli aggressori possono sfruttare il difetto per fare in modo che il programma esegua codice ostile che, in casi normali, gli antivirus potrebbero segnalare come sospetto.

Morphisec ha seguito le politiche di divulgazione responsabile e ha immediatamente condiviso i dettagli dell'attacco con Apple. Durante il periodo di divulgazione e in attesa della patch ufficiale, la società che si occupa di sicurezza informatica ha identificato e segnalato ulteriori componenti vulnerabili che potrebbero essere utilizzati in modo analogo.

Lunedì, Apple ha provveduto a correggere la vulnerabilità. Tuttavia, gli sviluppatori Apple non hanno risolto tutto le vulnerabilità segnalate da Morphisec, ma solo quella che è stata abusata dagli aggressori.

Gli utenti Windows su cui è installata una delle applicazioni dovrebbero assicurarsi che gli aggiornamenti automatici funzionino come dovrebbero. Inoltre, chiunque abbia installato e successivamente disinstallato iTunes dovrebbe ispezionare i propri PC per assicurarsi che anche Bonjour sia stato rimosso. Questo perché il programma di disinstallazione di iTunes non rimuove automaticamente Bonjour.

Il CTO di Morphisec Michael Gorelik ha affermato di essere rimasto sorpreso dai risultati di un'indagine che ha dimostrato che l'aggiornamento di Bonjour è installato su un gran numero di computer in diverse aziende. Molti dei computer hanno disinstallato iTunes anni fa, ma il componente Bonjour rimane silente e continua a funzionare in background.