Cyfirma Research heeft onlangs een ernstig beveiligingsprobleem ontdekt dat gebruikers van iTunes op Windows-systemen treft.
Deze kwetsbaarheid voor lokale escalatie van bevoegdheden, geclassificeerd als CVE-2024-44193, stelt aanvallers met beperkte toegang in staat hun bevoegdheden te verhogen, waardoor mogelijk hele systemen in gevaar kunnen worden gebracht.
De kwetsbaarheid, aanwezig in iTunes voor Windows versie 12.13.2.3 en eerder vormt een kritieke bedreiging voor de veiligheid van systemen, waardoor tijdige updates en patching essentieel zijn.
Een dringende iTunes-update pakt dit escalatierisico aan
Het kernprobleem achter CVE-2024-44193 ligt in onjuist machtigingsbeheer, specifiek gerelateerd aan AppleMobileDeviceService.exe.
Aanvallers kunnen misbruik maken van de CVE-2024-44193-kwetsbaarheid door de bestanden in het C:\ProgramData\Appel\Lockdown map. Met ontoereikende machtigingsinstellingen kunnen zelfs gebruikers met weinig bevoegdheden willekeurige bestanden naar deze map schrijven, waardoor aanvallers mogelijkheden kunnen creëren voor escalatie van bevoegdheden.
Deze kwetsbaarheid is niet moeilijk te activeren en maakt de exploitatie ervan bijzonder zorgwekkend, omdat aanvallers verschillende tools kunnen gebruiken, zoals NTFS-knooppunten en opportunistische vergrendelingen, om geavanceerde exploitketens te creëren die resulteren in de uitvoering van willekeurige code met verhoogde rechten.
De exploitatie van CVE-2024-44193 volgt een gestructureerde reeks stappen, waardoor aanvallers de AppleMobileDeviceService.exe kunnen manipuleren en verhoogde rechten kunnen verkrijgen. Ten eerste creëren aanvallers willekeurige bestanden binnen de Lockdown-directory, waarbij ze tools als Oplock gebruiken om processen op belangrijke momenten te stoppen. Ze kunnen vervolgens NTFS-knooppunten exploiteren, die bestandsverwijderingen omleiden naar kritieke systeemgebieden.
Deze acties culmineren in het verwijderen van essentiële systeembestanden, waardoor de aanvaller beheerderstoegang krijgt. Het gemak van exploitatie, gecombineerd met het wijdverbreide gebruik van iTunes, vooral in bedrijfsomgevingen, verhoogt het risicoprofiel van de kwetsbaarheid. Organisaties worden dringend verzocht iTunes bij te werken naar versie 12.13.3 of hoger om het risico te beperken.
De impact van dit beveiligingslek is ernstig, omdat het aanvallers toegang op beheerdersniveau tot het beoogde systeem verleent. Met bevoegdheden op SYSTEEMniveau kunnen aanvallers systeembestanden manipuleren, installeren malwaretoegang krijgen tot gevoelige gegevens en zelfs de dienstverlening verstoren. Dit maakt CVE-2024-44193 een kritiek risico voor organisaties, vooral voor organisaties met grote aantallen onbeheerde of verouderde systemen waarop kwetsbare versies van iTunes draaien.
Op dit moment is er geen bevestigd bewijs dat deze kwetsbaarheid actief in het wild wordt uitgebuit en er is ook geen actieve discussie over deze kwetsbaarheid in ondergrondse fora. Het potentieel voor wijdverbreid gebruik blijft echter groot vanwege de lage complexiteit van de aanval.
CVE-2024-44193 is wereldwijd van invloed op iTunes voor Windows en heeft gevolgen voor een groot aantal sectoren die afhankelijk zijn van op Windows gebaseerde systemen. Media- en entertainment-, onderwijs-, overheids- en bedrijfsomgevingen zijn bijzonder kwetsbaar vanwege het wijdverbreide gebruik van iTunes. Bovendien kunnen organisaties die gevoelige gegevens verwerken of in risicovolle omgevingen opereren, te maken krijgen met een verhoogde blootstelling aan aanvallen.
