iTunes, su Windows un bug lasciava la porta aperta al ransomware BitPaymer

Alcuni ricercatori di sicurezza, lo scorso agosto, avevano individuato un bug nel servizio Bonjour utilizzato da iTunes per Windows, che consentiva l'esecuzione del ransomware BitPaymer. I dettagli sono stati resi noti però solo ora, dopo il rilascio della patch da parte di Apple.

Avatar di Alessandro Crea

a cura di Alessandro Crea

Come sappiamo con l'arrivo di MacOS Catalina sui computer Apple iTunes è scomparso, sostituito da diversi singoli servizi. Su Windows però resta ancora l'unica soluzione di sincronizzazione per chi ha prodotti Apple ed è bene continuare a tenerlo sempre aggiornato. Nelle scorse ore infatti è emersa la notizia della presenza di una vulnerabilità nel software, che poteva essere sfruttata per eseguire il ransoware BitPaymer.

La scoperta in realtà è stata fatta lo scorso agosto da ricercatori della società di sicurezza informatica Morphisec, ma è stata divulgata soltanto ora, ossia dopo che Apple ha finalmente rilasciato una patch per risolvere il problema. Se non l'avete ancora fatto quindi, assicuratevi di avere installata l'ultima versione disponibile, la 12.10.1.

Il bug era presente in Bonjour, il servizio utilizzato da Apple per distribuire gli aggiornamenti di iTunes. Ed era di natura piuttosto banale: si trattava infatti di una vulnerabilità nota come "unquoted service path", che si verifica quando uno sviluppatore dimentica di aggiungere le virgolette al percorso di un file. Nello specifico il file eseguibile SoftwareUpdate.exe ha come percorso "C:\\Program Files (x86)\\Apple Software Update". La mancanza di virgolette nel codice però faceva terminare il percorso genericamente a "C:\\Program".

In questo modo alcuni malintenzionati avevano nascosto il ransomware BitPaymer proprio in un eseguibile chiamato semplicemente Program (senza estensione .exe), che, a causa della mancanza di virgolette, veniva eseguito al posto di Bonjour. Gli antivirus inoltre non rilevavano il ransomware perché quest'ultimo era privo di estensione .exe e all'interno di un'applicazione dotata della firma digitale di Apple. La stessa vulnerabilità inoltre è presente anche in iCloud, sempre per Windows, e anch'essa è stata patchata, quindi è bene verificare che si abbia la versione 7.14 di quest'ultimo. I problemi tuttavia non sembrano del tutto risolti perché un ricercatore di Morphisec ha fatto sapere che la società ha segnalato anche altre vulnerabilità, non ancora corrette da Apple. Da parte sua, il colosso californiano non ha voluto rilasciare alcun commento.