Ontwikkelaars van de BitPaymer-ransomware hebben een zerodaylek in de Windowsversie van iTunes gebruikt om antivirussoftware te omzeilen, zo stelt securitybedrijf Morphisec. Misbruik van de kwetsbaarheid werd afgelopen augustus waargenomen. Apple kwam deze week met een beveiligingsupdate voor de Windowsversies van iTunes en iCloud.

Het ging om een zogeheten "unquoted service path" kwetsbaarheid in de updater van Bonjour. Bonjour is software waarmee iTunes gedeelde muziek op andere computers in een lokaal netwerk kan vinden. Het wordt samen met iTunes geïnstalleerd. Via de kwetsbaarheid konden aanvallers die al toegang tot een systeem hadden Bonjour gebruiken om de BitPaymer-ransomware uit te voeren. Bonjour is digitaal gesigneerde en bekende software. Door de software voor de installatie van de ransomware te gebruiken konden aanvallers detectie door antivirussoftware omzeilen, aldus Morphisec.

Een bijkomend probleem is dat Bonjour als los onderdeel wordt geïnstalleerd. Wanneer gebruikers iTunes verwijderen moeten ze Bonjour apart verwijderen, anders blijft het aanwezig op het systeem. Het securitybedrijf claimt dat het tijdens een eigen onderzoek tal van bedrijfsmachines ontdekte waar iTunes was verwijderd, maar Bonjour nog steeds aanwezig was. Zodoende blijft de updatetool als taak actief.

De onderzoekers merken op dat de kwetsbaarheid het niet mogelijk maakt voor een aanvaller om zijn rechten te verhogen. Daarnaast is het ook niet mogelijk om via het lek toegang tot een systeem te krijgen. Een aanvaller zou al toegang tot het systeem nodig hebben om de kwetsbaarheid te kunnen misbruiken. BitPaymer wist eerder Amerikaanse steden en ziekenhuizen in Schotland te infecteren.