Vulnerabilidad crítica de iTunes explotada por ransomware. Actualice ahora

Hace un par de meses un equipo de especialistas en forense digital de la firma de seguridad Morphisec descubrió una campaña maliciosa que se valía de una nueva forma de evasión de detección dirigida contra una importante compañía automotriz.

Ahora, los especialistas de la misma compañía han revelado la explotación activa de una vulnerabilidad día cero en Bonjour, herramienta actualizadora de Apple incluida en iTunes para el sistema operativo Windows.

Para añadir un poco de contexto, Apple ha decidido retirar iTunes para Mac, medida efectiva a partir del lanzamiento de macOS Catalina, previsto para esta misma semana. Por otra parte, los usuarios de Windows aún contarán con iTunes, al menos hasta el próximo año.    

Según los especialistas en forense digital, los actores de amenazas han encontrado una forma de abusar de una ruta sin entrecomillado para mantener persistencia en un sistema y al mismo tiempo evitar ser detectados. La vulnerabilidad fue informada a Apple conforme a los parámetros de tiempo y discrecionalidad establecidos.

En su informe, los expertos describen el método de explotación de esta falla. “No es muy común encontrar esta clase de vulnerabilidades explotadas en escenarios reales, no obstante, este es un error que ya había sido identificado por otras compañías anteriormente”. En realidad, se trata de una vulnerabilidad conocida desde hace al menos 15 años.

Algunos expertos mencionan que esta clase de fallas pueden ser consideradas como vulnerabilidades de escalada de privilegios, pues residen en un servicio o proceso que requiere derechos de administrador. “Se ha dicho tanto al respecto de esta clase de fallas que es normal pensar que los programadores conocerían este riesgo de seguridad, aunque ya hemos visto que en realidad no es así”, mencionan los expertos.

“Los desarrolladores cada vez están más enfocados en la programación orientada a objetos; cuando asignan variables con ruta consideran que usar el tipo de cadena es suficiente, aunque sea necesario entrecomillar la ruta (“\\”)”, agregan los expertos en forense digital.

Respecto a Bonjour, la herramienta donde reside la falla, se trata de un mecanismo de Apple para entregar futuras actualizaciones que incluye una de estas rutas sin entrecomillado. Bonjour tiene su propia entrada de instalación en la sección de software instalado y una tarea programada para ejecutar el proceso. Las personas ignoran que es necesario desinstalar el componente Bonjour por separado al desinstalar iTunes. Debido a esto, las máquinas se quedan con la tarea de actualización instalada y funcionando.

“En pocas palabras, muchos usuarios desinstalaron iTunes hace años, no obstante, Bonjour permanece activo en segundo plano, funcionando como superficie de ataque”, mencionan los expertos.   

Si un proceso legítimo firmado por un proveedor conocido ejecuta un proceso secundario malicioso, una alerta asociada tendrá un puntaje de confianza más bajo que un proceso firmado por un proveedor conocido. Los hackers se aprovechan de que Bonjour es un proceso firmado de un proveedor conocido para la explotación. 

Los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) consideran que el grupo de hackers responsable de ambas campañas debe haber realizado una investigación minuciosa para anticiparse a los siguientes pasos de las compañías desarrolladoras de software, lo que indica una amplia disponibilidad de recursos y gran capacidad de planeación.