Penyelidikan Cyfirma baru-baru ini mendedahkan satu kelemahan keselamatan serius yang memberi kesan kepada pengguna iTunes di sistem Windows.
Kelemahan yang dikenali sebagai CVE-2024-44193 ini membolehkan penyerang yang mempunyai akses terhad untuk meningkatkan hak istimewa mereka, berpotensi merosakkan keseluruhan sistem.
Kelemahan ini terdapat dalam versi iTunes untuk Windows 12.13.2.3 dan lebih awal, menjadikannya ancaman kritikal terhadap keselamatan sistem. Oleh itu, sangat penting untuk melakukan kemas kini dan penampalan segera.
Kemas kini iTunes yang mendesak menangani risiko peningkatan hak ini
Masalah utama di sebalik CVE-2024-44193 adalah pengurusan kebenaran yang tidak betul, khususnya berkaitan dengan AppleMobileDeviceService.exe.
Penyerang boleh mengeksploitasi kelemahan ini dengan memanipulasi fail dalam direktori C:\ProgramData\Apple\Lockdown. Dengan tetapan kebenaran yang tidak mencukupi, pengguna dengan hak rendah pun boleh menulis fail sembarangan ke direktori ini, mewujudkan peluang untuk peningkatan hak.
Kelemahan ini tidak sukar untuk diaktifkan, dan ini menjadikannya amat membimbangkan kerana penyerang boleh menggunakan pelbagai alat, seperti NTFS junctions dan kunci oportunistik, untuk merangka rantai eksploitasi yang kompleks yang dapat menjalankan kod arbitrari dengan hak istimewa yang ditingkatkan.
Untuk mengeksploitasi CVE-2024-44193, penyerang mengikuti langkah-langkah tertentu untuk memanipulasi AppleMobileDeviceService.exe dan mendapatkan hak istimewa yang lebih tinggi. Pertama, mereka mencipta fail arbitrari dalam direktori Lockdown, menggunakan alat seperti Oplock untuk menghentikan proses pada waktu kritikal. Kemudian, mereka dapat menggunakan NTFS junctions, yang mengalihkan penghapusan fail ke kawasan sistem yang penting.
Tindakan ini akan membawa kepada penghapusan fail sistem penting, memberikan akses pentadbir kepada penyerang. Dengan hak SYSTEM, penyerang boleh memanipulasi fail sistem, memasang malware, mengakses data sensitif, dan bahkan mengganggu perkhidmatan. Ini menjadikan CVE-2024-44193 sebagai risiko kritikal untuk organisasi, terutamanya yang mempunyai banyak sistem yang tidak dikendalikan atau yang menggunakan versi iTunes yang lapuk.
Setakat ini, tiada bukti kukuh bahawa kelemahan ini sedang dieksploitasi secara aktif di luar sana dan tidak ada perbincangan aktif mengenai kelemahan ini dalam forum bawah tanah. Walau bagaimanapun, potensi untuk penggunaannya yang meluas masih tinggi disebabkan oleh kompleksiti serangan yang rendah.
CVE-2024-44193 memberi kesan kepada iTunes untuk Windows di seluruh dunia, menjejaskan pelbagai industri yang bergantung pada sistem berasaskan Windows. Media dan hiburan, pendidikan, kerajaan, dan persekitaran korporat adalah antara yang paling terdedah disebabkan penggunaan iTunes yang meluas. Selain itu, organisasi yang mengendalikan data sensitif atau beroperasi di persekitaran berisiko tinggi mungkin menghadapi pendedahan yang lebih besar kepada serangan.