Im Dienst Bonjour steckt der eigentliche Fehler. Die eingeschleuste Ransomware blieb über den Antivirensoftware unentdeckt. Der Konzern Apple verteilt die Updates für die Schwachstelle, die auch iCloud für Windows betrifft.
Die Zero-Day-Lücke in iTunes wurden von den der Sicherheitsanbieter Morphisec entdeckt. Während der Untersuchung eines Ransomware-Befalls eines Kunden aus der Automobilindustrie wurde das Unternehmen auf die Schwachstelle aufmerksam. Bevor Apple das Loch stopfen konnte, war es Hintermänner der Erpressersoftware BitPaymer gelungen, die Schwachstelle für ihre Zwecke zu benutzen.
Ein Update für iTunes für Windows und auch für die Windows-Version der iCloud-Anwendung steht inzwischen zur Verfügung, dass die Anfälligkeit beseitigt. Eigentlich steckt der Fehler in der Komponente, die der Netzwerkdienst Bonjour aktualisiert. Die Sicherheitslücke erlaubt es, die Komponente zu starten, um dann deren Ausführungspfad zu übernehmen und wird stattdessen von BitPaymer benutzt.
Zwar erhält Ransomware keine Administratorrechte, bleibt aber für diesen Vorgang für eine lokale Antivirensoftware unsichtbar. Apple wurde über Morphisec informiert und auch darüber, dass Anfang der Woche Patches bereitstellte. Michael Gorelik, CTO bei Morphisec weist aber darauf hin, dass möglicherweise auch Windows-Nutzer betroffen sind, auch wenn diese die iCloud und/oder iTunes nicht mehr einsetzen. Der Bonjour-Dienst wird bei der Anwendung Deinstallation nicht entfernt. Bei betroffenen Systemen muss der Bonjour-Dienst manuell deinstalliert werden. Oder aber man spielt iTunes oder iCloud für Windows erneut ein, um automatisch auch den Bonjour-Dienst zu aktualisieren.
Seit dem Sommer 2017 ist BitPaymer im Umlauf und wird häufig dann eingesetzt, wenn es darum geht, einzelne Organisationen gezielt anzugreifen, um hohe Lösegelder zu fordern. Erst vor zwei Jahren waren mehrere Krankenhäuser in Schottland von der Erpressersoftware betroffen.