Στόχος εκμετάλλευσης ενεργή ευπάθεια στο Bonjour component της Apple για Windows

**nnn** · 11-10-19, 11:41

Ενεργή ευπάθεια στο component Bonjour που κάνουν χρήση το iTunes και το iCloud για την λειτουργία τους σε Windoiws υπολογιστές, επιτρέπει την μόλυνση τους με ransomware, χωρίς να ενεργοποιούνται τυχόν ενεργά antivirus στον υπολογιστή.

Η ευπάθεια, χρησιμοποιείται σε ενεργή καμπάνια επιθέσεων και έκλεισε αυτήν την εβδομάδα από την Apple. Το σημαντικό που εντόπισαν οι ερευνητές, είναι πως το Bonjour service, παραμένει στον υπολογιστή ακόμα και αν απεγκατασταθεί το iTunes ή το iCloud, και συνεχίζει να εκτελεί silent checks για updates και να λειτουργεί στο παρασκήνιο.

As many detection solutions are based on behavior monitoring, the chain of process execution (parent-child) plays a major role in alert fidelity. If a legitimate process signed by a known vendor executes a new malicious child process, an associated alert will have a lower confidence score than it would if the parent was not signed by a known vendor. Since Bonjour is signed and known, the adversary uses this to their advantage. Furthermore, security vendors try to minimize unnecessary conflicts with known software applications, so they will not prevent this behaviorally for fear of disrupting operations.

Additionally, the malicious "Program" file doesn't come with an extension such as ".exe". This means it is likely that AV products will not scan the file since these products tend to scan only specific file extensions to limit the performance impact on the machine. In this scenario, Bonjour was trying to run from the "Program Files" folder, but because of the unquoted path, it instead ran the BitPaymer ransomware since it was named "Program". This is how the zero-day was able to evade detection and bypass AV.

Αναλυτικά : Arstechnica

**Mormnak** · 11-10-19, 19:16

Από το πρώτα που έσβηνα όταν το έβλεπα στην λίστα με τα εγκατεστημένα των Windows....και δεν ήξερα από ποια εγκατάσταση προγράμματος προέρχεται..

(και νομίζω οτι βρήκα από που...Acdsee ,από εκει τριγύρω πρέπει να είναι)

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: gerqtqy.jpg
Εμφανίσεις: 64
Μέγεθος: 169,5 KB
ID: 207592

**nnn** · 11-10-19, 19:25

Το είδα και εγώ σε καινούριο laptop, που δεν έβαλα ποτέ itunes ή icloud.

emeliss · 11-10-19, 20:56

Έχουν βγει updates που κλείνουν τις τρύπες.

**kiriakk** · 11-10-19, 22:28

όσα updates και να βγουν,
για να έχουμε το κεφάλι μας ήσυχο,
καλό είναι να λέμε goodbye στο bonjour,
δεν βλέπω λόγο ύπαρξης

**~~aiolos.01~~** · 12-10-19, 01:06

Κάπου το είχα πετύχει και εγώ το bonjour. Νομίζω η adobe το βάζει. Όπως και να έχει έφαγε σουτ άμεσα.

**famous-walker** · 12-10-19, 01:21

Μάστιγα το abandonware.

**nnn** · 12-10-19, 10:07

Αρχικό μήνυμα από famous-walker

Μάστιγα το abandonware.

Δεν είναι abandonware, αλλά απαραίτητο αν τρέχεις οτιδήποτε Apple στα Windows.

emeliss · 12-10-19, 13:12

Δεν είναι απαραίτητα απαραίτητο. Μπαίνει για διευκόλυνση στο δίκτυο.

**Rebel Scum** · 12-10-19, 23:37

Ευπάθεια είναι το ίδιο το Bonjour

Κάποιος ethical hacker δεν υπάρχει να γράψει ένα ιό που το απεγκαθιστά μαζικά;

**globalnoise** · 13-10-19, 12:24

"Δεν βλέπω λόγο ύπαρξης" και άλλες τέτοιες ημιμάθειες. Σας πιάνει φαγούρα επειδή είναι developed by Apple.

https://en.wikipedia.org/wiki/.local

Although Windows operating systems often do not have built-in mDNS function, it can be added by installing zeroconf software available from Apple and other third parties, and it is beginning to be added in Windows 10.

Finally, many printers and other peripheral devices also implement the mDNS protocol in order to provide simplified connections to them from computers that implement zero configuration networking.

**deniSun** · 13-10-19, 16:59

Και εγώ αν θυμάμαι καλά το είδα σε εγκατάσταση εκτυπωτή.

Θέμα: Στόχος εκμετάλλευσης ενεργή ευπάθεια στο Bonjour component της Apple για Windows

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές