iTunes 0-day: Vulnerabilità di escalation di privilegi su Windows

Come gli attacchi locali possono compromettere la sicurezza dei dispositivi Windows

Le vulnerabilità di sicurezza sono un problema costante nel mondo della tecnologia, e recentemente, una vulnerabilità critica in iTunes ha messo in pericolo la sicurezza dei dispositivi Windows. Questa vulnerabilità, identificata come CVE-2024-44193, consente agli attacchi locali di elevare i privilegi, permettendo agli attaccanti di ottenere accesso al livello SYSTEM sulle macchine Windows. In questo articolo, esploreremo la vulnerabilità, come funziona l’attacco e forniremo consigli pratici per proteggersi.

La Vulnerabilità di iTunes

La vulnerabilità di iTunes CVE-2024-44193 è stata scoperta da un ricercatore di sicurezza noto con il nome di mbog14, che ha pubblicato i dettagli tecnici e un proof-of-concept (PoC) per l’attacco. Questa vulnerabilità si trova nell’AppleMobileDeviceService.exe, un componente installato insieme a iTunes, e si verifica nell’impropria gestione delle autorizzazioni utente nel directory C:\ProgramData\Apple\*.

Come Funziona l’Attacco

L’attacco si basa sull’exploit dell’AppleMobileDeviceService.exe, che può essere restartato da un utente non autorizzato. L’attaccante può utilizzare un file/folder deletion primitive per eseguire codice arbitrario al livello SYSTEM. Il processo si svolge in cinque passaggi chiave:

1. Settare un oplock sul directory Lockdown per bloccare il processo al momento giusto.
2. Restartare il servizio Apple, permettendo al processo di seguire la junction NTFS.
3. Preparare un rollback MSI per utilizzare una script di rollback malizioso durante il processo di cancellazione.
4. Preparare la junction NTFS per puntare l’operazione di cancellazione al MSI installer.
5. Queryare i subdirectories del path C:\ProgramData\Apple\Lockdown e cancellare file con l’opzione Delete On Close abilitata.

Questo comportamento consente agli attaccanti di creare junction NTFS che dirigano la cancellazione dei file verso aree sensibili del sistema, portando alla escalation dei privilegi al livello SYSTEM.

Consigli per la Protezione

Per proteggersi da questa vulnerabilità, è essenziale seguire questi consigli:

1. Aggiornare iTunes: Assicurarsi di avere l’ultima versione di iTunes, che include il patch per la vulnerabilità CVE-2024-44193. L’aggiornamento è disponibile a partire dalla versione 12.13.3 per Windows.
2. Limitare i privilegi: Ridurre il numero di utenti con accesso scritto al directory C:\ProgramData\Apple\*. Questo riduce le possibilità di attacco.
3. Monitorare attività anomale: Continuare a monitorare le attività del sistema per rilevare eventuali comportamenti sospetti.
4. Utilizzare antivirus avanzato: Utilizzare un antivirus avanzato che possa rilevare e bloccare attacchi di questo tipo.
5. Segregare i clienti OpenVPN: Se si utilizza OpenVPN, segregarlo dalla rete internet e dai utenti non autorizzati per ridurre le vulnerabilità.

La vulnerabilità di iTunes CVE-2024-44193 rappresenta un pericolo significativo per la sicurezza dei dispositivi Windows. Tuttavia, con l’aggiornamento di iTunes e l’implementazione di misure di sicurezza aggiuntive, è possibile ridurre notevolmente il rischio di attacco. È importante rimanere informati sulle ultime vulnerabilità e aggiornare regolarmente i software per proteggersi dagli attacchi.

Fonte: https://cybersecuritynews.com/itunes-0-day-privilege-escalation-windows/