Исследовательская компания Morphisec обнаружила, что вымогательское ПО BitPaymer/IEncrypt использует уязвимость нулевого дня в ПО Apple iTunes. Компания Apple уже выпустила патч, закрывающий эту уязвимость, но опасность для пользователей, а значит и для предприятий не исчезла.
Уязвимость размещается в ПО iTunes в сервисе Bonjour. При удалении данного ПО, сервис остается работать в системе. Эксперты группы компаний Angara не раз наблюдали Bonjour в составе ПО автоматизированных рабочих мест (АРМ) пользователей в корпоративной среде, в том числе высокопривилегированных и даже конфиденциальных АРМ. При этом обновление сервиса Bonjuor без основного компонента iTunes не произойдет.
Кроме того, сервис Bonjour подвержен уязвимости Unquoted Service Path – это опасная программная ошибка, позволяющая злоумышленнику получить права уровня System и выполнять абсолютно любые действия в системе. Часто она эксплуатируется в программах вымогателях и шифраторах (ransomware).
Совокупность этих двух уязвимостей создает довольно опасную ситуацию. При отсутствии контроля и мониторинга состава приложений на критичном АРМ, есть риск “поймать” программу шифровальщик и потерять все данные, несмотря на работающий антивирус, так как сервис bonjuor попадает в доверенные исключения.
Эксперты группы компаний Angara рекомендуют:
-
Обновить сервис iTunes.
-
Если iTunes удален, следует принудительно удалить ПО Bonjuor. Для этого необходимо остановить сервис sc stop "Bonjour Service", удалить сервис sc delete "Bonjour Service", удалить файлы c:\program files\bonjour\mdnsresponder.exe, c:\program files\bonjour\mdnsNSP.dll. Более подробную инструкцию можно найти в интернет.
Для критичных АРМ эксперты группы компаний Ангара рекомендует контролировать установленные приложения и сервисы: