ព័ត៌មាន

Apple iTunes និង iCloud សម្រាប់ Windows 0-Day រងនូវការវាយប្រហារមេរោគ Ransomware

Saturday, ទី12 October, ឆ្នាំ2019 10:10 am 0

សូមប្រយ័ត្នអ្នកប្រើប្រាស់ Window! ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺរណិតនៅពីក្រោយការវាយប្រហារ BitPaymer និង iEncrypt ransomware ត្រូវបានគេរកឃើញថា បានឆ្លុះបញ្ចាំងពីភាពងាយរងគ្រោះ zero-day ដែលប៉ះ ពាល់ដល់សមាសធាតុដែលគេស្គាល់តិចតួចដែលភ្ជាប់មកជាមួយកម្មវិធី iTunes របស់ Apple និង iCloud របស់ក្រុមហ៊ុន Window ដើម្បីគេចពីការរកឃើញមេរោគ។

សមាសធាតុងាយរងគ្រោះនៅក្នុង សំណួរគឺកម្មវិធីធ្វើបច្ចុប្បន្នភាព Bonjour ដែលជាការអនុវត្តការកំណត់ zero-configuration នៃ protocol ទំនាក់ទំនងបណ្តាញដែលដំណើរការដោយស្ងៀមស្ងាត់នៅ background និងធ្វើឱ្យការងារ low-level network ផ្សេងៗ រួមបញ្ចូលទាំងការទាញយកការធ្វើបច្ចុប្បន្នភាពនាពេលអនាគតសម្រាប់ Apple software។ គួរកត់សម្គាល់ថា ចាប់តាំងពីដំឡើងកម្មវិធី Bonjour ត្រូវបានតំឡើងជាកម្មវិធីដាច់ដោយ ឡែកមួយនៅលើប្រព័ន្ធ uninstalling iTunes និង iCloud មិនលុប Bonjour ទេ ដែលជាហេតុធ្វើឱ្យវា ត្រូវបានតំឡើងនៅលើកុំព្យួទ័រ window ជាច្រើន មិនបានធ្វើបច្ចុប្បន្នភាព និងស្ងាត់នៅក្នុង background។

ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពតាមប្រព័ន្ធអ៊ីនធឺរណិតមកពី Morphisec Labs បានរកឃើញថា ការកេង ប្រវ័ញ្ចនៃភាពងាយរងគ្រោះ zero-day នៅ Bonjour នៅក្នុងខែសីហា នៅពេលដែលអ្នកវាយប្រហារ បានកំណត់គោលដៅទៅលើសហគ្រាស ដែលមិនបញ្ចេញឈ្មោះនៅក្នុងឧស្សាហកម្មរថយន្ត BitPaymer ransomware។

ភាពងាយរងគ្រោះ Unquoted Service Path នៅក្នុងសេវាកម្ម Bonjour របស់ Apple

The Bonjour component ត្រូវបានគេរកឃើញថា ងាយរងគ្រោះពីភាពងាយរងគ្រោះនៃ service path ដែលមិនត្រូវបានគេរកឃើញដែលជាគុណវិបត្តិសុវត្ថិភាព software ទូទៅមួយដែលកើតឡើងនៅ ពេលដែល path អាចប្រតិបត្តិបានមាន space នៅក្នុង filename ហើយមិនត្រូវបាន enclosed ក្នុង quote tags (“”)។ ភាពងាយរងគ្រោះ service path ដែលមិនត្រូវបានផ្តល់ជូនអាចត្រូវបានធ្វើអាជីវកម្ម ដោយ planting ឯកសារដែលអាចបង្កគ្រោះថ្នាក់ដល់ parent path ដោយបោកកម្មវិធី ដែលស្របច្បាប់ និងទុកចិត្តទៅក្នុងការអនុវត្តកម្មវិធីដែលមានគំនិតអាក្រក់ដើម្បីរក្សាភាពជាប់លាប់ និងគេចចេញពី ការរកឃើញ។ អ្នកស្រាវជ្រាវបាននិយាយថា “នៅក្នុងសេណារីយ៉ូនេះ Bonjour បានព្យាយាមរត់ចេញ ពី Program Files folder ប៉ុន្តែដោយសារតែ unquoted path វាជំនួសឱ្យកម្មវិធី BitPaymer ransomware ចាប់តាំងពីវាត្រូវបានគេដាក់ឈ្មោះថា Program”។

ដំណោះស្រាយដែលរកឃើញមានមូលដ្ឋានលើការឃ្លាំមើលអាកប្បកិរិយាខ្សែសង្វាក់នៃការប្រតិបត្តិនៃដំណើរការ (parent – child) ដើរតួយ៉ាងសំខាន់ក្នុងភាពប្រុងប្រយ័ត្ន។ ពិន្ទុទំនុកចិត្តទាបជាងវា ប្រសិនបើ parent មិនត្រូវបានចុះហត្ថលេខាដោយអ្នកលក់ដែលស្គាល់”។ “ចាប់តាំងពី Bonjour ត្រូវ បានចុះហត្ថលេខា និងស្គាល់ ហើយសត្រូវប្រើវាដើម្បីផលប្រយោជន៍របស់ពួកគេ”។ ក្រៅពីការរត់គេចពីការរកឃើញក្នុងករណីខ្លះភាពងាយរងគ្រោះនៃសេវាដែលមិនត្រូវបានគេផ្តល់ជូន ក៏អាចត្រូវបានគេរំលោភដើម្បីបង្កើនសិទ្ធិនៅពេលកម្មវិធីងាយរងគ្រោះមានសិទ្ធិដំណើរការក្រោមសិទ្ធិពិសេស។

ទោះយ៉ាងណាក៏ដោយ ក្នុងករណីពិសេសនេះ Bonjour zero-day មិនអនុញ្ញាតឱ្យ BitPaymer ransomware ទទួលបានសិទ្ធិប្រព័ន្ធនៅលើកុំព្យូទ័រដែលឆ្លងមេរោគទេ។ ប៉ុន្តែវាបានអនុញ្ញាតិឱ្យមេរោគ អាចចៀសផុតពីដំណោះស្រាយនៃការរកឃើញជាទូទៅដែលផ្អែកលើការឃ្លាំមើលអាកប្បកិរិយា ពីព្រោះសមាសធាតុ Bonjour ហាក់ដូចជាដំណើរការត្រឹមត្រូវ។

បំណះសុវត្ថិភាពចេញផ្សាយ (iTunes / iCloud សម្រាប់ Windows)

ភ្លាមៗបន្ទាប់ពីរកឃើញការវាយប្រហារ ក្រុមអ្នកស្រាវជ្រាវនៅ Morphisec Labs បានចែករំលែក ព័ត៌មានលំអិតនៃការវាយប្រហារជាមួយ Apple ដែលទទួលខុសត្រូវដោយទើបតែចេញនូវ iCloud សម្រាប់ Windows 10.7, iCloud សម្រាប់ Windows 7.14 និង iTunes 12.10.1 សម្រាប់ Windows ដើម្បីដោះស្រាយភាពងាយរងគ្រោះ។ អ្នកប្រើ window ដែលបានដំឡើងកម្មវិធី iTunes ឬ / និង iCloud និងដំឡើងនៅលើប្រព័ន្ធរបស់ពួកគេ ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពកម្មវិធីរបស់ពួកគេទៅ verion ចុងក្រោយ។ ក្នុងករណីដែលអ្នកធ្លាប់ដំឡើងកម្មវិធី Apple ណាមួយនៅលើកុំព្យួទ័រ window របស់អ្នក ហើយបន្ទាប់មកលុបវា អ្នកគួរតែពិនិត្យមើលបញ្ជីកម្មវិធីដែលបានតំឡើងនៅលើប្រព័ន្ធ របស់អ្នកសម្រាប់កម្មវិធី Bonjour updater និង uninstall វាជាលក្ខណៈ manually។

image

image 

Tags: