Cyberkriminelle verbreiten Ransomware über Zero-Day-Lücke in iTunes

Der Sicherheitsanbieter Morphisec hat eine Zero-Day-Lücke in iTunes entdeckt. Das Unternehmen wurde auf die Schwachstelle während der Untersuchung eines Ransomware-Befalls eines Kunden aus der Automobilindustrie aufmerksam. Den Hintermännern der Erpressersoftware BitPaymer war es gelungen, die Schwachstelle für ihre Zwecke zu benutzen, bevor Apple das Loch stopfen konnte.

Inzwischen steht ein Update für iTunes für Windows und auch für die Windows-Version der iCloud-Anwendung zur Verfügung, das die Anfälligkeit beseitigt. Der eigentliche Fehler steckt in der Komponente, die den Netzwerkdienst Bonjour aktualisiert.

Die Sicherheitslücke erlaubte es, die Bonjour-Komponente zu starten und dann deren Ausführungspfad zu übernehmen und stattdessen für BitPaymer zu benutzen. Die Ransomware erhält zwar keine Administratorrechte, bleibt bei diesem Vorgang aber für eine lokale Antivirensoftware unsichtbar. Morphisec informierte schließlich Apple über seine Erkenntnisse, das Anfang der Woche Patches bereitstellte.

Morphisec-CTO Michael Gorelik weist darauf hin, dass möglicherweise auch Windows-Nutzer betroffen sind, obwohl sie iCloud und/oder iTunes nicht mehr einsetzen. Bei der Deinstallation der Anwendungen werde nämlich der Bonjour-Dienst nicht entfernt.

Auf betroffenen Systemen müssen der Bonjour-Dienst manuell deinstalliert werden. Alternativ könne auch iTunes oder iCloud für Windows erneut eingespielt werden, um automatisch auch den Bonjour-Dienst auf den neuesten Stand zu bringen.

BitPaymer ist mindestens seit Sommer 2017 im Umlauf. Die Erpressersoftware wird häufig eingesetzt, wenn es darum geht, einzelne Organisationen gezielt anzugreifen, um hohe Lösegelder zu fordern. Vor zwei Jahren waren unter anderem mehrere Krankenhäuser in Schottland betroffen.