Apple a colmaté une importante faille 0-day dans iTunes pour Windows

Catalina a peut-être éclaté iTunes en trois applications distinctes (Musique, TV et Podcasts), mais les utilisateurs sous Windows sont bons pour garder la vieille usine à gaz pendant un bon moment. Et les failles qui vont avec.

Ceux qui n’auraient pas vérifié récemment les mises à jour du logiciel (accessibles depuis les menus ou l’application Apple Software Update) sont invités à le faire rapidement, car les versions antérieures à la 12.10.1 contiennent une vulnérabilité actuellement exploitée par des pirates pour installer le ransomware BitPaymer, aussi iEncrypt

Plus précisément, la faille se situe dans Bonjour, service installé en même temps qu’iTunes, mais que la désinstallation de ce dernier ne supprime pas. Elle réside dans l’utilisation potentielle d’un emplacement sans utiliser les guillemets de rigueur, obligeant Windows à scanner l’ensemble des dossiers pour chercher un exécutable. 

Ce qui permet à un pirate exploitant la faille avec succès d’aller cibler un autre dossier, donc un autre exécutable, malveillant cette fois. La brèche peut également être utilisée pour monter en privilège, si le service initialement visé dispose des droits SYSTEM.

La méthode est tellement efficace que le malware peut échapper à la plupart des détections classiques et des antivirus.

Comme l’expliquent les chercheurs de Morphisec, à l’origine de la découverte, BitPaymer est un ransomware agressif, qui chiffre aussi bien les données personnelles que les applications. Ils estiment que ses auteurs « un esprit innovant » et gardent « constamment un temps d’avance sur les défenseurs »