Dennis Hoogeveen
Dennis Hoogeveen Nieuws 11 oktober 2019

Ransomware op Windows door kwetsbaarheid in iCloud en iTunes

Een kwetsbaarheid in iTunes en iCloud gaf hackers de kans om ransomware op Windows-computers te installeren. Ransomware vergrendelt alle bestanden op je computer, en geeft die pas weer nadat je een aanzienlijk bedrag betaalt aan de aanvaller. Virusscanners hadden niets door wanneer aanvallers de bug misbruikten.

De zero-day kwetsbaarheid werd ontdekt door beveiligingsbedrijf Morphisec. Het probleem zit in de Bonjour-updater. Gebruikers van iTunes en iCloud op Windows installeren het kleine programmaatje automatisch samen met de software van Apple. Het stukje software zorgt er kort gezegd voor dat netwerken met elkaar kunnen communiceren, en is benodigd om iTunes en iCloud te laten werken.

Ransomware via iTunes en iCloud

Ransomware drong via iTunes en iCloud systemen door dankzij een zogeheten ‘unquoted service path‘. Daarbij is de ontwikkelaar vergeten een locatie van een bestand tussen aanhalingstekens te plaatsen. Omdat software van Apple digitaal is ondertekend en een vertrouwde status heeft op Windows, konden aanvallers de bug misbruiken zonder dat virusscanners daar lucht van kregen. Kwaadwillenden konden daardoor allerlei programma’s en acties ongemerkt uitvoeren.

iTunes in oude dagen kwetsbaar ransomware
iTunes in oude gedaante. 

Dit probleem zou overigens niet mogen voorkomen. De bug is al jarenlang bekend onder ontwikkelaars en uitstekend gedocumenteerd. Het is dan ook een raadsel waarom zo’n groot bedrijf als Apple de code van zijn programma’s kennelijk niet op orde had waardoor ransomware kon binnendringen. Apple heeft inmiddels een update uitgebracht die de problemen verhelpt. Gebruikers van Mac hoeven niet te wachten op een update, alleen Windows is getroffen door het lek.

Ook na verwijderen kwetsbaar

Saillant detail is dat gebruikers van iTunes en iCloud die de programma’s weer van hun Windows-systeem hebben verwijderd, nog steeds kwetsbaar zijn. De bonjour-module wordt namelijk niet automatisch verwijderd wanneer je iTunes en iCloud van Windows van je computer af gooit. Volgens de beveiligingsexperts is de Bonjour update op talloze computers geïnstalleerd, vermoedelijk zonder dat de gebruikers dat zelf weten.

Overigens kunnen Windows-gebruikers, anders dan Mac-klanten, voorlopig nog geen afscheid nemen van iTunes. De aparte apps Muziek, Podcasts en TV zijn nog niet gepland voor de PC’s. Jaarlijks worden steeds meer mensen slachtoffer van ransomware. Het risico is kleiner bij gebruikers van Mac, al kun je ook daar stappen nemen om het te voorkomen.

Reageer op artikel:
Ransomware op Windows door kwetsbaarheid in iCloud en iTunes
Sluiten