Експерт з кібербезпеки виявив дві критичні вразливості у популярному програмному забезпеченні для віртуалізації Parallels Desktop, які дозволяють зловмисникам отримати права адміністратора на комп’ютерах Mac. Вразливості присутні в усіх актуальних версіях продукту та становлять серйозну загрозу для безпеки користувачів.
Технічний аналіз виявлених вразливостей
Основна вразливість (CVE-2024-34331) пов’язана з некоректною реалізацією механізму перевірки цифрових підписів у Parallels Desktop. Незважаючи на випущене у вересні 2024 року оновлення безпеки, дослідники продемонстрували можливість обходу захисних механізмів двома різними способами.
Експлуатація через TOCTOU-атаку
Перший метод базується на вразливості типу TOCTOU (Time-of-Check to Time-of-Use) у процесі верифікації підпису утиліти createinstallmedia. Зловмисник може здійснити підміну легітимного файлу шкідливим кодом у проміжку між перевіркою підпису та фактичним виконанням, що призводить до отримання привілеїв root.
Вразливість функції перепакування
Другий вектор атаки експлуатує недоліки в реалізації функції do_repack_manual, що дозволяє здійснювати неконтрольовану перезапис файлів з максимальними правами. Використання символічних посилань дає можливість перенаправляти операції запису та модифікувати системні компоненти, що також призводить до ескалації привілеїв.
Хронологія виявлення та реакція виробника
Дослідник відповідально повідомив про знайдені вразливості компанію Parallels у червні 2024 року. Попри численні звернення, останнє з яких датується 19 лютого 2025 року, виробник не надав необхідних оновлень безпеки. Це змусило експерта оприлюднити технічні деталі для інформування користувачів про наявні ризики.
Вплив на різні версії програмного забезпечення
Перший експлойт успішно працює у всіх версіях Parallels Desktop від 19.4.0 до поточної 20.2.1 (55876). Другий метод став можливим після змін у версії 19.4.1 із впровадженням нового механізму перепакування. Особливу увагу привертає той факт, що у версії 20.2.1 відбувся відкат деяких змін, що зробило всі поточні версії продукту вразливими принаймні до одного з описаних методів атаки.
З огляду на критичність виявлених вразливостей та відсутність патчів, користувачам Parallels Desktop рекомендується посилити моніторинг системи, обмежити доступ до функцій встановлення macOS та регулярно перевіряти наявність оновлень безпеки. Додатково варто розглянути можливість впровадження додаткових засобів захисту та контролю доступу до критичних системних компонентів.
