Dois exploits diferentes para uma vulnerabilidade ainda não corrigida de elevação de privilégio no Parallels Desktop foram divulgados publicamente, permitindo que usuários obtenham acesso root em dispositivos Mac afetados.
O Parallels Desktop é um software de virtualização que permite aos usuários de Mac executar Windows, Linux e outros sistemas operacionais ao lado do macOS.
É muito popular entre desenvolvedores, empresas e usuários casuais que precisam de aplicações Windows em seus Macs sem reiniciar.
O pesquisador de segurança Mickey Jin publicou os exploits na semana passada, demonstrando um bypass das correções do fornecedor para o CVE-2024-34331, uma falha de elevação de privilégio corrigida em setembro.
Essa falha, descoberta inicialmente em maio de 2024 por Mykola Grymalyuk, originou-se de uma falta de verificação de assinatura de código no Parallels Desktop para Mac.
Jin diz que liberou os exploits para o bypass do zero-day patch depois que o desenvolvedor supostamente deixou-o sem correção por mais de sete meses.
"Dado que o fornecedor deixou essa vulnerabilidade sem solução por mais de sete meses—apesar da divulgação prévia—eu optei por divulgar publicamente este exploit de 0-day," explica Jin em um texto técnico.
"Meu objetivo é aumentar a conscientização e instar os usuários a mitigarem os riscos de forma proativa, visto que os atacantes poderiam explorar essa falha no wild."
O patch original da Parallels tentou evitar a execução de código não confiável verificando se a ferramenta 'createinstallmedia' é assinada pela Apple antes de conceder-lhe privilégios root.
No entanto, Jin demonstrou que essa verificação é falha, permitindo que atacantes a contornem de pelo menos duas maneiras.
A primeira é realizar um ataque time-of-check to time-of-use (TOCTOU) para explorar uma condição de corrida entre a verificação se 'createinstallmedia' é assinada pela Apple e a execução dela com privilégios root.
Um atacante solta um instalador falso do macOS, espera que o Parallels verifique o binário 'createinstallmedia' assinado pela Apple e, então, rapidamente o substitui por um script malicioso antes da execução, obtendo privilégios root.
O segundo exploit é um ataque via a função 'do_repack_manual', que é vulnerável a sobreescritas de arquivo root-own arbitrárias.
Manipulando a função 'do_repack_manual', um atacante redireciona uma pasta privilegiada usando symlinks, engana o Parallels para escrever arquivos controlados pelo atacante em um caminho root-owned e substitui 'p7z_tool', que é executado como root.
Jin descobriu as possíveis brechas logo após ler o texto de Mykola e informou a Parallels em junho de 2024.
O pesquisador diz que o fornecedor prometeu investigar seu relatório, mas apesar de três solicitações subsequentes de atualização (a última foi em 19 de fevereiro de 2025), a Parallels não respondeu.
O pesquisador adverte que seu primeiro exploit, envolvendo o ataque TOCTOU, funciona na versão mais recente do Parallels, 20.2.1 (55876), e todas as versões de 19.4.0 ou anteriores.
A Parallels modificou o processo de repackaging na versão 19.4.1, mudando de 'do_repack_createinstallmedia' para 'do_repack_manual', impedindo o exploit.
No entanto, essa mudança introduziu uma nova vulnerabilidade que permite a um atacante sobrescrever arquivos root-owned arbitrários, tornando o segundo exploit possível.
As alterações foram revertidas na versão mais recente (20.2.1), então o exploit está funcionando novamente.
Em conclusão, todas as versões conhecidas do Parallels Desktop, incluindo a mais recente, estão vulneráveis a pelo menos um exploit.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...