Rilevate due vulnerabilità 0-day in Parallels Desktop

Recentemente, sono state scoperte due vulnerabilità 0-day nel software di virtualizzazione Parallels Desktop, che consentono a un attaccante locale di ottenere accesso di root sui sistemi macOS.
La vulnerabilità, identificata come CVE-2024-34331, è stata inizialmente risolta da Parallels, ma gli exploit pubblicati da un ricercatore di sicurezza, Mickey Jin, dimostrano che il fix è facilmente aggirabile.

Dettagli sulla Vulnerabilità

• CVE-2024-34331 è una vulnerabilità di escalation dei privilegi che sfrutta una debolezza nel sistema di repackaging degli installer macOS di Parallels Desktop. Questo sistema opera con privilegi di root tramite il daemon prl_disp_service.
• La patch originale per CVE-2024-34331 introduceva una verifica della firma del codice per il tool createinstallmedia utilizzando la firma Apple. Tuttavia, gli attaccanti possono sfruttare una condizione di Time-of-Check to Time-of-Use (TOCTOU) per sostituire il binary legittimo con uno dannoso tra la verifica e l'esecuzione.

Impatto e Mitigazione

• Sistemi Affetti: Tutti i sistemi macOS basati su Intel che eseguono Parallels Desktop dalle versioni 16.0.0 a 20.2.1 sono vulnerabili. I dispositivi Apple Silicon non sono colpiti a causa delle differenze nei framework di virtualizzazione.
• Conseguenze: L'exploit può portare a un accesso persistente di root, aggirare le protezioni TCC (Transparency, Consent, and Control) di macOS e consentire la fuga da una macchina virtuale in ambienti multiutente.
• Mitigazione: Fino a quando non sarà disponibile un patch ufficiale, si consiglia di rimuovere le autorizzazioni SUID dagli strumenti Parallels, segmentare la rete per i sistemi che eseguono Parallels Desktop e monitorare la creazione di file non autorizzati in /Library/lpe.

Fonti: ACN, Hoplon, SocRadar, Parallels