Недавно стало известно о серьезной уязвимости в популярном программном продукте Parallels Desktop, который позволяет пользователям Mac запускать другие операционные системы, такие как Windows и Linux. Эта уязвимость предоставляет возможность злоумышленникам получить root-доступ на компьютерах Mac, что создает значительные риски для безопасности данных и конфиденциальной информации пользователей. В этой статье мы рассмотрим детали уязвимости, методы ее эксплуатации и способы защиты от возможных атак. Что такое Parallels Desktop? Parallels Desktop — это мощное программное обеспечение для виртуализации, которое позволяет пользователям Mac запускать операционные системы, отличные от macOS, без перезагрузки компьютера. Оно очень популярно среди разработчиков и бизнес-пользователей, которые нуждаются в доступе к приложениям Windows.
Однако, как показывает практика, любая программа может содержать уязвимости, которые могут быть использованы злоумышленниками. Уязвимость Parallels Desktop Уязвимость, о которой идет речь, получила номер CVE-2024-34331. Она была впервые обнаружена в мае 2024 года исследователем безопасности Михаилом Грималюком и связана с тем, что Parallels Desktop не проверяет подписи кода должным образом. Эта недостаточность позволила злоумышленникам обойти существующие патчи и получить root-доступ к системе. Спустя несколько месяцев после первого обнаружения уязвимости, Михаил Джин, также исследователь безопасности, опубликовал два различных эксплойта, позволяющих использовать данную уязвимость.
Он объяснил, что разработчик программы оставил эту уязвимость без исправления в течение более семи месяцев, несмотря на ее предыдущее раскрытие. Как работают эксплойты? Первый эксплойт включает технику, известную как TOCTOU (time-of-check to time-of-use). Эта атака использует гонку между проверкой того, подписан ли файл 'createinstallmedia' от Apple, и фактическим его выполнением с правами root. Злоумышленник может создать поддельный установщик macOS и дождаться, когда Parallels проверит его на предмет подписей, чтобы затем заменить его на вредоносный скрипт перед выполнением. Это приводит к получению прав root.
Второй эксплойт основан на функции 'do_repack_manual', которая позволяет перезаписывать произвольные файлы с правами root. При помощи символических ссылок, злоумышленник может обмануть Parallels, заставив его записать файлы в защищенные директории, а затем заменить важный исполняемый файл, который будет выполнен с правами root. Почему уязвимость все еще актуальна? Несмотря на попытки Parallels выпустить патч, выявленные Михаилом Джином обходы продолжают функционировать. В частности, разработчики изменили процесс репаковки в версии 19.4.
1, что обеспечивало защиту от первого эксплойта. Однако это изменение создало новую уязвимость, позволяя злоумышленникам использовать второй эксплойт для получения прав root. На момент написания этой статьи все известные версии Parallels Desktop, включая последнюю версию 20.2.1, остаются уязвимыми к хотя бы одному из этих эксплойтов.
Это подчеркивает важность быстрого реагирования разработчиков на выявление уязвимостей и их исправления. Как защитить свои данные? Если вы используете Parallels Desktop, важно принимать меры для защиты своей системы от возможных атак. Вот несколько рекомендаций: 1. Обновление ПО: Регулярно проверяйте наличие обновлений для Parallels Desktop и устанавливайте их как можно быстрее. 2.
Изоляция виртуальных машин: Используйте настройки безопасности для изоляции виртуальных машин от основной операционной системы. 3. Мониторинг активности: Установите программное обеспечение для мониторинга и обнаружения вредоносных действий на вашем устройстве. 4. Использование антивирусов: Используйте надежное антивирусное программное обеспечение, которое будет проверять вашу систему на наличие угроз в реальном времени.
5. Обучение пользователей: Обучите пользователей в вашей организации основам безопасности, чтобы они могли выявлять и предотвращать потенциальные угрозы. Заключение Уязвимость в Parallels Desktop подчеркивает важность быстрого реагирования на угрозы со стороны разработчиков программного обеспечения. Несмотря на то, что исследователи безопасности делают все возможное, чтобы выявить уязвимости и защитить пользователей, конечные пользователи также несут ответственность за обеспечение своей безопасности. Следуя указанным рекомендациям и внимательно следя за обновлениями программного обеспечения, вы можете значительно снизить риски получения доступа злоумышленниками к вашей системе.
Не забывайте о важности безопасности и постоянно обновляйте свои знания о новых угрозах и методах защиты. Ваши данные и конфиденциальность имеют первостепенное значение.
