Bug in Apple iTunes usato dal ransomware BitPaymer

Gli esperti di Morphisec hanno scoperto una vulnerabilità zero-day in iTunes che è stata già sfruttata dai creatori del ransomware BitPaymer per colpire i computer di un’azienda automotive. Il bug è stato individuato ad agosto, ma i dettagli tecnici sono stati divulgati solo adesso, ovvero in seguito alla distribuzione della patch da parte di Apple.

iTunes per macOS è andato in pensione con il rilascio di Catalina. Gli utenti Windows devono ancora fare affidamento sul software per la gestione dei contenuti multimediali, quindi è consigliabile effettuare l’aggiornamento all’ultima versione 12.10.1. La vulnerabilità, nota come “unquoted service path“, viene introdotta nel codice quando lo sviluppatore dimentica di aggiungere le virgolette al percorso di un file.

Il bug è stato scoperto nel tool Bonjour usato da Apple per distribuire gli aggiornamenti di iTunes. Bonjour viene installato insieme ad iTunes, ma deve essere disinstallato manualmente dopo la cancellazione di iTunes perché non viene rimosso automaticamente. Il file eseguibile (SoftwareUpdate.exe) si trova in “C:\\Program Files (x86)\\Apple Software Update“, ma nel codice non erano state inserite le necessarie virgolette (“”), quindi la ricerca del percorso si fermava a “C:\\Program“.

Il ransomware BitPaymer era stato nascosto in un file eseguibile denominato Program (senza estensione .exe), per cui l’assenza delle virgolette causava la sua esecuzione (dopo aver ottenuto i privilegi di scrittura). Gli antivirus non rilevano il malware proprio grazie all’assenza dell’estensione .exe e alla presenza del bug in un’applicazione firmata digitalmente da Apple. La stessa vulnerabilità è presente anche in iCloud per Windows, quindi è necessario effettuare quanto prima l’aggiornamento dei due software.

Morphisec ha individuato altre vulnerabilità, ma i dettagli tecnici verranno pubblicati solo in seguito al rilascio delle patch da parte di Apple.