Patched Parted Paraleller Masaüstü Ayrıcalığı Yükseklik güvenlik açığı için iki farklı istismar, kullanıcıların etkilenen MAC cihazlarına kök erişimi kazanmalarına izin vererek kamuya açıklanmıştır.
Parallels Desktop, Mac kullanıcılarının MacOS ile birlikte Windows, Linux ve diğer işletim sistemlerini çalıştırmasına izin veren bir sanallaştırma yazılımıdır. Mac’lerinde Windows uygulamalarına ihtiyaç duyan geliştiriciler, işletmeler ve sıradan kullanıcılar arasında çok popülerdir.
Güvenlik araştırmacısı Mickey Jin, geçen hafta istismarları yayınladı ve satıcının Eylül ayında bir ayrıcalık yükseklik kusuru olan CVE-2024-34331 için düzeltmelerinin bir baypasını gösterdi.
İlk olarak Mayıs 2024’te Mykola Gymaluk tarafından keşfedilen bu kusur, Mac için paralellik masaüstünde kod imzası doğrulaması eksikliğinden kaynaklandı.
Jin, geliştiricinin yedi aydan fazla bir süre boyunca serbest bırakıldığı iddia edildikten sonra sıfır gün yama bypass’ın istismarlarını serbest bıraktığını söyledi.
Jin, “Satıcının bu güvenlik açığını yedi aydan fazla-önceden açıklamaya rağmen-bu 0 günlük sömürüyü kamuya açıklamayı seçtim.”
Diyerek şöyle devam etti: “Amacım farkındalığı artırmak ve kullanıcıları proaktif olarak riskleri azaltmaya teşvik etmek, çünkü saldırganlar vahşi doğada bu kusurdan yararlanabiliyor.”
Parallels’in düzeltmesini atlamak
Paralels’in orijinal yaması, ‘CreateInstallMedia’ aracının kök ayrıcalıkları vermeden önce elma imzalayıp imzalamadığını doğrulayarak güvenilmeyen kod yürütülmesini önlemeye çalıştı.
Bununla birlikte, Jin bu doğrulamanın kusurlu olduğunu ve saldırganların en az iki şekilde atlamasına izin verdiğini gösterdi.
Birincisi, ‘CreateInstallMedia’ nın elma imzalayıp imzalamadığını kontrol etmek ve kök ayrıcalıklarıyla yürütme arasında bir yarış koşulundan yararlanmak için kullanım zamanı (Toctou) saldırısına bir kontrol zamanı yapmaktır.
Bir saldırgan sahte bir macOS yükleyicisini düşürür, paralelliklerin Apple tarafından imzalanmış ‘CreateInstallMedia’ ikilisini doğrulamasını bekler ve daha sonra yürütmeden önce kötü amaçlı bir komut dosyası ile değiştirerek kök ayrıcalıkları kazanır.
İkinci istismar, keyfi köklü dosya üzerine yazmalara karşı savunmasız olan ‘Do_repack_manual’ işlevi aracılığıyla bir saldırıdır.
‘Do_repack_manual’ işlevini manipüle ederek, bir saldırgan sembolikleri kullanarak ayrıcalıklı bir klasörü yeniden yönlendirir, püf noktaları, kök olarak yürütülen saldırgan kontrollü dosyaları yazma yoluna yazma ve ‘P7Z_TOOL’ yerini alır.
https://www.youtube.com/watch?v=j91h7shqsbe
Yamaların durumu
Jin, Mykola’nın yazımını okuduktan kısa bir süre sonra potansiyel bypass’ları keşfetti ve Haziran 2024’te bilgilendirdi.
Araştırmacı, satıcının raporuna bakma sözü verdiğini, ancak daha sonraki üç güncelleme talebine rağmen (sonuncusu 19 Şubat 2025’teydi) paraleller yanıt vermedi.
Araştırmacı, Toctou Saldırısı’nı içeren ilk istismarının paraleller, 20.2.1 (55876) ve 19.4.0 ve daha büyük sürümlerin en son sürümünde çalıştığı konusunda uyarıyor.
Paralellikler, ‘do_repack_createInStLedia’ dan ‘DO_REPACK_MANUAL’, istismarın kırılmasına geçerek 19.4.1 sürümündeki yeniden paketleme işlemini değiştirdi.
Bununla birlikte, bu değişiklik, bir saldırganın keyfi kök sahip olduğu dosyaların üzerine yazmasını sağlayan ve ikinci istismarın mümkün olmasını sağlayan yeni bir güvenlik açığı getirdi.
Değişiklikler en son sürümde (20.2.1) geri döndü, bu yüzden istismar şimdi tekrar çalışıyor.
Sonuç olarak, paralellik masaüstünün en sonuncusu da dahil olmak üzere bilinen tüm sürümleri en az bir istismara karşı savunmasızdır.
BleepingComputer, Jin’in bulguları ve raporu hakkında bir yorum isteyerek paralelliklerle iletişime geçti, ancak bir açıklama hemen mevcut değildi.