Специалист по информационной безопасности Микки Джин обнародовал технические детали двух эксплоитов, позволяющих получить привилегии администратора в популярном программном обеспечении для виртуализации Parallels Desktop на компьютерах Mac. Уязвимость затрагивает все актуальные версии продукта и может быть использована злоумышленниками для компрометации системы.
Подробности уязвимости и методы эксплуатации
Обнаруженная проблема (CVE-2024-34331) связана с некорректной реализацией механизма проверки подписи кода в Parallels Desktop. Несмотря на выпущенное в сентябре 2024 года исправление, исследователь продемонстрировал два способа обхода защитных мер.
Атака типа TOCTOU
Первый метод эксплуатации основан на технике TOCTOU (time-of-check to time-of-use), использующей уязвимость в процессе проверки подписи утилиты createinstallmedia. Атакующий может подменить легитимный файл вредоносным кодом в момент между проверкой подписи и фактическим выполнением, что приводит к повышению привилегий до уровня root.
Уязвимость в функции do_repack_manual
Второй способ эксплуатирует недостатки функции do_repack_manual, позволяющие осуществлять произвольную перезапись файлов с правами root. Злоумышленник может использовать символические ссылки для перенаправления операций записи и замены системных компонентов, что также приводит к получению максимальных привилегий.
Хронология обнаружения и реакция производителя
Исследователь сообщил о найденных уязвимостях компании Parallels в июне 2024 года. Несмотря на неоднократные обращения, последнее из которых датируется 19 февраля 2025 года, производитель не предоставил исправления. Это побудило эксперта к публичному раскрытию информации для повышения осведомленности пользователей о существующих рисках.
Затронутые версии и технические особенности
Первый эксплоит успешно работает во всех версиях Parallels Desktop, начиная с 19.4.0, включая актуальную версию 20.2.1 (55876). Второй метод появился после изменений в версии 19.4.1, когда был внедрен новый механизм перепаковки. Примечательно, что в версии 20.2.1 произошел откат некоторых изменений, что сделало все текущие версии продукта уязвимыми как минимум к одному из описанных способов атаки.
В связи с серьезностью обнаруженных уязвимостей и отсутствием патчей, пользователям Parallels Desktop рекомендуется усилить мониторинг системы на предмет подозрительной активности и ограничить доступ к функциям установки macOS до выпуска официальных исправлений производителем.
