Paralellikler masaüstü sanallaştırma yazılımında kritik bir sıfır gün güvenlik açığı, yedi aylık çözülmemiş raporlamadan sonra kamuya açıklanmış ve saldırganların macOS sistemlerindeki kök seviyesine ayrıcalıkları artırmasını sağlayan.
Konsept Kanıtı (POC) istismar kodu, daha önce ele alınan bir ayrıcalık artış kusuru olan CVE-2024-34331 için mevcut yamaları atlatan iki farklı baypas yöntemi gösterir.
Güvenlik Açığı’na Teknik Genel Bakış
Paralellikler masaüstü yama doğrulamasını atlamak
Yamalı CVE-2024-34331 Güvenlik açığı, macOS yükleyici yeniden paketleme sırasında kullanılan CreateInstallMedia aracının yanlış imza doğrulanmasını içeriyordu.
Parallels’in ilk düzeltmesi, ayrıcalık artışı için Apple tarafından imzalanmış ikili dosyaları gerektiriyordu. Bununla birlikte, yeni açıklanan bypass bu doğrulama mantığında zayıflıklardan yararlanır:
1.
Saldırganlar, imza doğrulama ve yürütme arasındaki kısa aralıkta doğrulanmış CreateInstallMedia ikili olarak kötü niyetli bir yükle değiştirir.
Aşağıdaki istismar komut dosyası bu tekniği göstermektedir:
#!/bin/sh
# [...] payload creation
defaults write /tmp/poc.app/Contents/Info.plist CFBundleDisplayName createinstallmedia
open /tmp/poc.app -a /Applications/Parallels\ Desktop.app
# [...] directory monitoring loop replaces binary post-validation
mv /tmp/payload /tmp/poc.app/Contents/Resources/createinstallmedia2. Zayıf imza gereksinimi istismarı
İmza kontrolü, aşırı izin verilen ankraj elma kuralını kullanır ve elma ile imzalanmış herhangi bir ikili (örneğin, /bin /ls) doğrulamayı geçmesine izin verir.
Saldırganlar, Meşru Apple ikili dosyalarına Kaçırma Dinamik Kütüphane (Dylib) aracılığıyla kötü amaçlı kod enjekte ederler.
Güvenlik açığı zincirinin evrimi
19.4.1 sürümünde yazma sonrası baypas
Parallels, 7Z sıkıştırma yoluyla yükleyiciyi yeniden paketlemeyi işlemek için 19.4.1 sürümünde yeni bir do_repack_manual işlevi tanıttı:
do_repack_manual() {
# [...] path manipulation vulnerability
local result_vol_name="$(defaults read "$source_app"/Contents/Info CFBundleDisplayName)"
temp_result_dir="$temp_dir"/"$result_vol_name"
mkdir "$temp_result_dir"
# [...] attacker-controlled path leads to arbitrary code execution
cp -R "$source_app" "$temp_result_dir"
}Saldırganlar, ikinci istismar komut dosyasında gösterildiği gibi paralellikler tarafından kullanılan 7Z ikili üzerine yazmak için cfbundledisplayname değerindeki yol izlemesi kullanıyor:
defaults write /tmp/poc.app/Contents/Info.plist CFBundleDisplayName ../../../../../../tmp/lnk/result
# [...] symlink manipulation redirects root-owned directories
ln -s /tmp/redirect /tmp/lnk
ln -sfn /tmp/dst /tmp/lnkÇözülmemiş Satıcı Yanıtı Zaman Çizelgesi
Araştırmacı, 31 Mayıs 2024’te Bypass’a Sıfır Gün Girişimi’ne (ZDI) bildirdi, ancak sürüm tutarsızlık sorunları nedeniyle gecikmiş onay aldı.
Paralellikler artımlı güncellemeleri serbest bırakmasına rağmen, temel ayrıcalık artış riski aşağıdaki kritik etkilerle birlikte kabul edilmez:
- Önemsiz yol manipülasyonu yoluyla tam kök erişim
- MacOS şeffaflık mekanizmalarını atlayan sessiz kod yürütme
- MacOS sanallaştırma kullanıcılarını hedefleyen tedarik zinciri saldırılarında silahlandırma potansiyeli
Azaltma önerileri
Paralellikler resmi bir yama yayınlayana kadar, kullanıcılar şunları yapmalıdır:
- Paralellikler masaüstü ayrıcalıklarını kısıtlayın:
Sistem ayarları> Güvenlik> Otomasyon altında MacOS gizlilik denetimlerini kullanarak PRL_DISP_Service aracılığıyla otomatik yürütmeyi devre dışı bırakın. - Denetim ISO/DMG kaynakları:
Yalnızca doğrulanmış Apple dağıtım kanallarından yükleyici görüntüleri işlem. - Dosya Sistemi Etkinliği İzleyin:
Paralelliklerin Kaynaklar Dizini için / kütüphane / veya değişiklikler için beklenmedik yazılar için uç nokta algılama uygulayın.
Bu açıklama, ayrıcalıklı sanallaştırma hizmetlerindeki kalıcı risklerin ve sağlam imza doğrulama çerçevelerine yönelik kritik ihtiyacın altını çizmektedir.
MacOS sanallaştırması için paralellik masaüstüne güvenen kullanıcılar ve işletmeler, satıcılar kapsamlı düzeltmeler yayınlayana kadar bunu aktif bir tehdit olarak ele almalıdır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here