Исследователи опубликовали два эксплоита для непропатченной уязвимости повышения привилегий в Parallels Desktop. Проблема позволяет получить root-доступ на затронутых устройствах под управлением macOS.
На прошлой неделе ИБ-эксперт Микки Джин (Mickey Jin) опубликовал PoC-эксплоиты, которые демонстрируют обход патчей для исправленной в сентябре прошлого года проблемы CVE-2024-34331, связанной с повышением привилегий. Исходно эта уязвимость была обнаружена в мае 2024 года и возникает в силу отсутствия проверки подписи кода в Parallels Desktop для Mac.
«Учитывая, что производитель не может устранить эту уязвимость более семи месяцев (невзирая на предварительное раскрытие информации), я решил публично обнародовать этот 0-day эксплоит, — объясняет Джин. — Моя цель — повысить осведомленность и призвать пользователей к активному снижению рисков, поскольку злоумышленники могут использовать этот недостаток в реальных атаках».
Исходный патч Parallels стремился предотвратить выполнение недоверенного кода, проверяя, подписан ли createinstallmedia, прежде чем предоставить ему root-привилегии. Однако Джин продемонстрировал, что эта проверка не работает должным образом, и злоумышленники могут обойти ее как минимум двумя способами.
Первый способ заключается в проведении атаки типа TOCTOU (time-of-check to time-of-use), что позволяет спровоцировать состояние гонки между проверкой наличия у createinstallmedia подписи Apple и его выполнением с привилегиями root.
Так, атакующий загружает поддельный установщик macOS, ждет, пока Parallels проверит подписанный Apple бинарник createinstallmedia, а затем быстро подменяет его вредоносным скриптом, получая привилегии root.
Второй способ связан с атакой на функцию do_repack_manual, которая уязвима для перезаписи произвольных файлов, находящихся во владении root. Манипулируя do_repack_manual, злоумышленник перенаправляет привилегированную папку с помощью симлинков, вынуждая Parallels записать подконтрольные хакеру файлы по пути, принадлежащему root, и заменяет p7z_tool, добиваясь выполнения от имени root.
Джин рассказывает, что обнаружил эти способы обхода патча и сообщил о них Parallels еще в июне 2024 года. По словам исследователя, производитель пообещал изучить его отчет, но на три последующих запроса (последний из которых был сделан 19 февраля 2025 года) в Parallels так и не ответили.
Исследователь предупреждает, что его первый эксплоит, связанный с TOCTOU-атакой, работает в последней версии Parallels, 20.2.1 (55876), и во всех версиях, начиная с 19.4.0 и старше.
В версии 19.4.1 Parallels изменила процесс перепаковки, перейдя с do_repack_createinstallmedia на do_repack_manual, что мешает работе эксплоита. Однако это изменение привнесло новую уязвимость, позволяющую злоумышленнику перезаписывать произвольные файлы, из-за чего стал возможен второй способ эксплуатации.
При этом изменения позже были отменены в версии 20.2.1. В результате все версии Parallels Desktop, включая последнюю, уязвимы как минимум для одного из описанных эксплоитов.
