CSIRT Toscana Rilevate due vulnerabilità 0-day in Parallels Desktop (AL04/250226/CSIRT-ITA)
Data:
26 Febbraio 2025 18:01
Impatto Sistemico
Critico (84.74)
Sintesi
Ricercatori di sicurezza hanno recentemente rilevato 2 vulnerabilità 0-day in Parallels Desktop, software di virtualizzazione per sistemi macOS. Tali vulnerabilità – di tipo “Privilege Escalation” – sono correlate alla CVE-2024-34331 , non correttamente sanata dal vendor.
Note : dei Proof of Concept (PoC) per lo sfruttamento delle due vulnerabilità risultano disponibili in rete.
Tipologia
- Privilege Escalation
Descrizione e potenziali impatti
Ricercatori di sicurezza hanno recentemente rilevato 2 vulnerabilità 0-day in Parallels Desktop, software di virtualizzazione per sistemi macOS. Tali vulnerabilità – di tipo “Privilege Escalation” – sono correlate alla CVE-2024-34331 , non correttamente sanata dal vendor.
Nel dettaglio, la patch incompleta consisteva nel prevenire l’esecuzione di codice non attendibile verificando se lo strumento ‘createinstallmedia’ fosse firmato da Apple prima di concedere privilegi di root. Tuttavia, come affermato dai ricercatori di sicurezza, questa verifica risulterebbe non efficace, permettendone il bypass nelle modalità elencate di seguito:
- Il primo metodo consiste nell’eseguire un attacco di tipo “time-of-check to time-of-use” (TOCTOU) per sfruttare una race condition tra la verifica della firma del binario ‘createinstallmedia’ e la sua esecuzione con privilegi di root: l’attaccante esegue, sul sistema target, un falso installer di macOS contenente il binario ‘createinstallmedia’ , e provvede a sostituire quest’ultimo con uno script malevolo, subito dopo aver superato la verifica della firma Apple e poco prima della sua esecuzione, al fine di eseguire lo script malevolo con privilegi di root.
- Il secondo metodo sfrutta la funzione ‘do_repack_manual’ che è vulnerabile a sovrascritture arbitrarie di file di proprietà di root: manipolando la funzione ‘do_repack_manual’ è possibile reindirizzare una cartella privilegiata, usando symlink, al fine di indurre Parallels a scrivere file controllati dall’attaccante in un percorso di proprietà di root, e sostituirli quindi a ‘p7z_tool’ che viene eseguito con privilegi amministrativi.
Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.
Prodotti e/o versioni affette
Parallels Desktop (qualora eseguito su dispositivi Mac con processore Intel)
Azioni di mitigazione
Si raccomanda di seguire le indicazioni fornite nel bollettino di sicurezza del vendor, riportato nella sezione Riferimenti.
Si suggerisce inoltre di monitorare il sito del vendor per il rilascio di aggiornamenti risolutivi.
Riferimenti
- https://kb.parallels.com/
- https://kb.parallels.com/en/130944
- https://www.bleepingcomputer.com/news/security/exploits-for-unpatched-parallels-desktop-flaw-give-root-on-macs/
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 26-02-2025 | 26/02/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link