iTunesとiCloudにランサムウェアをインストールできるゼロデイ脆弱性が発見される

イスラエルのサイバーセキュリティ企業Morphisecが、Windows版iTunesとiCloudにゼロデイ脆弱性が存在していることを突き止め、ハッカーがその脆弱性をランサムウェアのために使用していたと発見しました。Morphisecの報告により、Appleは脆弱性をすでに修正しています。

Apple Zero-Day Exploited in New BitPaymer Campaign
https://blog.morphisec.com/apple-zero-day-exploited-in-bitpaymer-campaign

Attackers exploit an iTunes zeroday to install ransomware | Ars Technica
https://arstechnica.com/information-technology/2019/10/attackers-exploit-an-itunes-zeroday-to-install-ransomware/

問題の脆弱性はiTunesとWindows版iCloudに備わっているBonjourコンポーネントにある、「引用符で囲まれていないプログラムパス問題」として知られるものでした。この問題は、Windowsが引用符で囲まれていない空白(スペース)を含むパスを解釈する際に、「プログラムのパス」と「パラメータ」を区別できないという仕様が原因です。

通常、サービスの実行ファイルなどのパスは「"c:\Program files\file.exe"」のように引用符「"」で囲まれて設定されています。しかし、引用符「"」がない場合、この例の場合では「Program files」という文字列中の「スペース」で区切りがあると判断するため、「c:\Program files\file.exe」というファイルよりも先に「c:\Program.exe」というファイルを実行してしまいます。

By pixel2013

引用符で囲まれていないプログラムパス問題に関しては、以下のサイトでわかりやすく解説されています。

Security Professionals Network Inc. - 【SPN通信】引用符で囲まれていないプログラムパスの処理問題
http://www.sec-pro.net/newsletter/20121112.html

Morphisecが発見したクラッキングの手法は、ランサムウェア「BitPaymer」を「Program」という拡張子のないファイルとして送り込むというもの。前述の引用符で囲まれていないプログラムパス問題によって、Bonjourは「c:\Program Files」フォルダ内のアップデートプログラムを実行するよりも優先的に「c:\Program」というBitpaymerランサムウェアを実行してします。

「Program」に拡張子がない理由は、アンチウイルスソフトウェアはマシンのパフォーマンスを低下させないために、特定のファイル拡張子のみをスキャンする場合があるためとのこと。BitPaymerに拡張子を設定しないことによって、アンチウイルスソフトに検出されることを避けたわけです。

By rupixen

Morphisecは、ある自動車関連企業のPCにこの手法によってBitPaymerがインストールされたことを発見。MorphisecはAppleに即座にこの脆弱性を報告したとのこと。Appleは2019年10月7日付けで問題の脆弱性を修正した｢iCloud for Windows 7.14｣と｢iTunes 12.10.1 for Windows｣をリリースしました。

iTunes for Windows 12.10.1 のセキュリティコンテンツについて - Apple サポート
https://support.apple.com/ja-jp/HT210635

Windows 用 iCloud 7.14 のセキュリティコンテンツについて - Apple サポート
https://support.apple.com/ja-jp/HT210637

iTunesはアンインストール時に自動的にBonjourを削除してくれないため、「iTunesを使用していたが、現在は使用していない」という人は、脆弱性のあるBonjourがPC内に残っている可能性があります。

MorphicsecはAppleの修正を待って、今回の脆弱性に関する報告書を発表しました。Morphicsecによると、「Appleはハッカーによって悪用された脆弱性は修正したが、同時に報告したほかの脆弱性に関しては修正していない」とのことです。