ระวังภัย พบมัลแวร์เรียกค่าไถ่ BitPaymer โจมตีช่องโหว่ Apple Software Update บน Windows รีบแพตช์ด่วน
เมื่อวันที่ 10 ตุลาคม 2562 นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Morphisec ได้รายงานช่องโหว่ในโปรแกรม Apple Software Update บน Windows ที่ถูกผู้พัฒนามัลแวร์เรียกค่าไถ่ BitPaymer ใช้ในการติดตั้งมัลแวร์ลงในเครื่องของเหยื่อ โดยล่าสุดทาง Apple ได้ออกแพตช์แก้ไขช่องโหว่แล้ว ผู้ใช้ควรรีบอัปเดตเพื่อลดความเสี่ยง
เมื่อผู้ใช้ Windows ติดตั้งโปรแกรมของ Apple เช่น iTunes, iCloud, หรือ Boot Camp Assistant จะมีโปรแกรม Apple Software Update (หรือ Bonjour service) ติดตั้งมาด้วย ซึ่งโปรแกรมดังกล่าวใช้สำหรับตรวจสอบการอัปเดตโปรแกรมของ Apple (ดูรายละเอียดเพิ่มเติมเกี่ยวกับโปรแกรมนี้ได้จากเว็บไซต์ของ Apple https://support.apple.com/en-us/HT208038) นักวิจัยฯ จากบริษัท Morphisec พบว่าโปรแกรม Apple Software Update มีช่องโหว่ประเภท Unquoted Search Path (CWE-428) ที่ทำให้ผู้ประสงค์ร้ายสามารถใช้ประมวลผลคำสั่งอันตรายในเครื่องได้
ช่องโหว่ Unquoted Search Path เกิดจากข้อผิดพลาดในการเขียนโปรแกรมที่มีการเรียก path ที่มี space อยู่ในชื่อ แต่ไม่ได้ใส่เครื่องหมาย quote ครอบ path ดังกล่าว ทำให้เมื่อโปรแกรมทำงาน จะเรียก path ไม่ครบตามที่ระบุไว้ (path จะถูกตัดหลังพบเครื่องหมาย space) ตัวอย่างข้อผิดพลาดนี้ เช่น เขียนโค้ดให้มีการเรียกไฟล์จาก "C:\\Program Files\\Foo\\Bar" ซึ่งเมื่อโปรแกรมทำงานแล้วพบการเรียก path ที่ดังกล่าว จะไปเรียกไฟล์ "C:\Program.exe" มาประมวลผล แทนที่จะเป็นการเรียกไฟล์จาก path เต็ม (ดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่นี้ได้จากเว็บไซต์ CWE https://cwe.mitre.org/data/definitions/428.html)
นักวิจัยฯ ค้นพบว่ามัลแวร์เรียกค่าไถ่ BitPaymer ได้ใช้ช่องโหว่นี้ในการโจมตี จึงได้วิเคราะห์ช่องโหว่และแจ้งให้ทางบริษัท Apple ทราบ โดยทาง Apple ได้ออกอัปเดตโปรแกรม iCloud และ iTunes for Windows มาเพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้สามารถดาวน์โหลดไฟล์อัปเดตได้จากเว็บไซต์ของ Apple
- iCloud for Windows 10.7 (https://support.apple.com/en-in/HT210636)
- iCloud for Windows 7.14 (https://support.apple.com/en-in/HT210637)
- iTunes 12.10.1 for Windows (https://support.apple.com/en-is/HT210635)
ทั้งนี้ เนื่องจากโปรแกรม Apple Software Update นั้นถูกติดตั้งเพิ่มเติมแยกออกมาจากตัวโปรแกรมหลัก ทำให้ถึงแม้ผู้ใช้จะลบ iTunes หรือ iCloud ออกจากเครื่องแล้ว แต่โปรแกรม Apple Software Update นั้นจะยังอยู่ ดังนั้นหากไม่จำเป็นต้องใช้งานโปรแกรมของ Apple แล้วควรลบโปรแกรมนี้ออกจากเครื่องเพื่อลดความเสี่ยง
ที่มา : Morphisec, Bleeping Computer, The Hacker News