گروه تبهکاری سایبری که در پشت حملات باج افزاری BitPaymer و  iEncrypt قراردارد مشخص شده در حال اکسپلویت کردن یک آسیب پذیری zero-day در نسخه های ویندوزی iTunes و iCloud  است.

کامپوننت آسیب پذیر موجود در این نرم افزارها بروزرسان Bonjour نام دارد که یک اجرای zero-configuration پروتکل network communication است که بی سروصدا در پشت زمینه کار میکند وتعدادی از وظایف سطح پایین شبکه را انجام میدهد که شامل دانلود اتوماتیک بروزرسانی های آتی برای نرم افزار می باشد.

لازم به ذکر است ار آنجاییکه بروزرسان Bonjour بصورت یک برنامه مجزا روی سیستم نصب می شود پاک کردن iTunes و iCloud آنرا پاک نمی کند وبصورت نصب شده روی سیستم باقی می گذارد که بی سروصدا در پشت زمینه فعالیت می کند.

این آسیب پدیری در ماه اگوست توسط لابراتوار Morphisec شناسایی شد زمانیکه مهاجمین به یک شرکت صنایع اتومبیل با باج افزار BitPaymer حمله کردند.

کامپوننت Bonjour  حامل آسیب پذیری unquoted service path شناخته شده.این یک نقص امنیتی نرم افزاری معمول است و زمانی اتفاق می افتد که path یک فایل اجرایی در قسمت filename حاوی space  است وبا با quote tags بسته نمی شود.ایت نقص با کار گداشتن یک فایل اجرایی آلوده در path اصلی اکسپلویت میشود.

در سناریویی که منجر به شناسایی شد Bonjour  سعی داشت از فولدر فایل برنامه اجرا شود ولی به دلیل unquoted path در عوض باج افزار BitPaymer را اجرا کرد.

از آنجاییکه بسیاری از راه حل های شناسایی بر مبنای نظارت رفتاری است ،زنجیره فرایند اجرا (parent-child) نقش مهمی در اصالت ودرستی هشدارها دارد.اگر یک فرایند قانونی و مجاز که توسط ارائه دهنده شناخته شده ای امضا شده یک زیر فرایند آلوده را اجرا کند سطح اطمینان مربوط به هشدار ها در مقایسه با اینکه توسط یک سرویس دهنده نا شناخته باشد پایین تر است واز آنجاییکه Bonjour  شناخته شده است این موضوع به نفع مهاجمین خواهد بود.

علاوه بر دور زدن راه کار های شناسایی  در برخی موارد آسیب پذیری unquoted service path میتواند به منظور بالابردن دسترسی ها مورد سو استفاده قرار گیرد زمانیکه برنامه آسیب پذیر اجازه استفاده از دسترسی های بالاتر را داشته باشد.

در این مورد Bonjour zero-day به باج افزار BitPaymer اجازه دسترسی به مجوز های سیستمی را نداد ولی بدافزار را از تمهیدات امنیتی برای شناسایی مخفی نگه داشت چون کامپوننت Bonjour یک فرایند قانونی و شناخته شده به نظر می رسد.

به محض شناسایی، موارد امنیتی به Apple گزارش شد و این شرکت دیروز نسخه های بروز رسانی شده iCloud و iTunes برای ویندوز را به منظور رسیدگی به این آسیب پذیری منتشر کرد.به همه کاربران ویندوز که از این دو نرم افزار روی سیستم حودشان استفاده می کنند توصیه میشود هر چه سریعتر نسخه های جدید را نصب کنند.وچنانچه هر کدام از این نرم افزار ها در گذشته روی سیستم شما بوده وآنرا پاک کردید با مراجعه به قسمت برنامه های نصب شده در کنترل پنل خود نسبت به پاک کردن Bonjour updater اقدام کنید.