Fallimento della protezione di aggiornamento di Parallels Desktop: vulnerabilità di downgrade del software

Vulnerabilità 0-day in Parallels Desktop: Escalation dei privilegi di root

Una vulnerabilità critica di tipo zero-day è stata recentemente scoperta nel software di virtualizzazione Parallels Desktop, mettendo a rischio la sicurezza di numerosi utenti macOS. Questa falla di sicurezza, che consente l’escalation dei privilegi a livello root, è stata pubblicamente divulgata dopo sette mesi di segnalazioni irrisolte al produttore.

Dettagli della vulnerabilità

La vulnerabilità in questione bypassa la patch precedentemente rilasciata per CVE-2024-34331, una falla di escalation dei privilegi già nota. Il ricercatore di sicurezza che ha scoperto questa nuova vulnerabilità ha identificato due distinti metodi per aggirare la correzione esistente:

  1. Attacco Time-of-Check to Time-of-Use (TOCTOU)
  2. Sfruttamento di requisiti di firma deboli

Metodo 1: Attacco TOCTOU

Questo metodo sfrutta una condizione di race tra la verifica della firma e l’esecuzione del binario. L’attaccante può sostituire il binario verificato con un payload malevolo nell’intervallo di tempo tra la validazione della firma e l’effettiva esecuzione.

Ecco un esempio di script di exploit che dimostra questa tecnica:

#!/bin/sh

# [...] creazione del payload

defaults write /tmp/poc.app/Contents/Info.plist CFBundleDisplayName createinstallmedia

open /tmp/poc.app -a /Applications/Parallels\ Desktop.app

# [...] loop di monitoraggio della directory per sostituire il binario dopo la validazione

mv /tmp/payload /tmp/poc.app/Contents/Resources/createinstallmedia

Metodo 2: Sfruttamento di requisiti di firma deboli

Il secondo metodo sfrutta la debolezza nella verifica della firma, che utilizza la regola “anchor apple” troppo permissiva. Questo consente a qualsiasi binario firmato da Apple (ad esempio /bin/ls) di superare la verifica. Gli attaccanti possono iniettare codice malevolo tramite hijacking di librerie dinamiche (DYLIB) in binari Apple legittimi.

Impatto e rischi

L’impatto di questa vulnerabilità è potenzialmente devastante:

  • Accesso root completo tramite semplice manipolazione del percorso
  • Esecuzione silenziosa di codice che bypassa i meccanismi di trasparenza di macOS
  • Potenziale di weaponizzazione in attacchi alla supply chain mirati agli utenti di virtualizzazione macOS

Cronologia della divulgazione

Il ricercatore ha segnalato il bypass a Zero Day Initiative (ZDI) il 31 maggio 2024. Nonostante Parallels abbia rilasciato aggiornamenti incrementali, il rischio di escalation dei privilegi rimane irrisolto.

Raccomandazioni di mitigazione

In attesa di una patch ufficiale da parte di Parallels, gli utenti dovrebbero adottare le seguenti misure preventive:

  1. Limitare i privilegi di Parallels Desktop:
    • Disabilitare l’esecuzione automatica tramite prl_disp_service utilizzando i controlli di privacy di macOS in Impostazioni di Sistema > Sicurezza > Automazione.
  2. Verificare le fonti di ISO/DMG:
    • Elaborare solo immagini di installazione provenienti da canali di distribuzione Apple verificati.
  3. Monitorare l’attività del file system:
  • Implementare il rilevamento degli endpoint per scritture inaspettate in /Library/ o modifiche alla directory delle risorse di Parallels.
  1. Aggiornare regolarmente:
    • Mantenere Parallels Desktop sempre aggiornato all’ultima versione disponibile, anche se al momento non risolve completamente la vulnerabilità.
  2. Implementare il principio del minimo privilegio:
    • Eseguire Parallels Desktop e le macchine virtuali con il minor livello di privilegi possibile per le operazioni necessarie.
  3. Utilizzare la sandboxing:
  • Se possibile, eseguire Parallels Desktop in un ambiente sandbox per limitare potenziali danni in caso di sfruttamento.
  1. Monitorare attività sospette:
    • Implementare strumenti di monitoraggio e logging per rilevare comportamenti anomali o accessi non autorizzati.
  2. Backup regolari:
    • Eseguire backup frequenti dei dati importanti, sia del sistema host che delle macchine virtuali.
  3. Formazione sulla sicurezza:
  • Educare gli utenti sui rischi e sulle best practice di sicurezza nell’utilizzo di software di virtualizzazione.
  1. Considerare alternative:
    • Valutare l’uso di soluzioni di virtualizzazione alternative fino alla risoluzione completa della vulnerabilità.

Questa divulgazione sottolinea i rischi persistenti nei servizi di virtualizzazione privilegiati e la necessità critica di framework di validazione delle firme robusti. Gli utenti e le aziende che si affidano a Parallels Desktop per la virtualizzazione su macOS dovrebbero trattare questa come una minaccia attiva fino al rilascio di correzioni complete da parte del produttore.

La situazione evidenzia anche l’importanza di una risposta tempestiva da parte dei vendor alle segnalazioni di sicurezza. Il ritardo di sette mesi nella risoluzione di una vulnerabilità così critica è preoccupante e sottolinea la necessità di processi di gestione delle vulnerabilità più efficienti nell’industria del software.

Prospettive future

Guardando al futuro, è probabile che vedremo un aumento dell’attenzione sulla sicurezza dei software di virtualizzazione, dato il loro ruolo critico in molti ambienti aziendali e di sviluppo. Ci si può aspettare:

  1. Maggiore scrutinio: Ricercatori di sicurezza e hacker etici potrebbero concentrarsi maggiormente su Parallels e software simili.
  2. Miglioramenti nei processi di patch: I vendor potrebbero essere spinti a migliorare i loro processi di risposta e correzione delle vulnerabilità.
  3. Evoluzione delle tecniche di attacco: Gli attaccanti potrebbero sviluppare metodi sempre più sofisticati per sfruttare le vulnerabilità nei software di virtualizzazione.
  1. Adozione di tecnologie di sicurezza avanzate: Potremmo vedere l’integrazione di tecnologie come l’intelligenza artificiale e il machine learning nei sistemi di rilevamento e prevenzione delle intrusioni specifici per ambienti virtualizzati.
  2. Maggiore trasparenza: Le aziende potrebbero essere spinte a una maggiore trasparenza riguardo alle vulnerabilità e ai processi di correzione.

In conclusione, questa vulnerabilità 0-day in Parallels Desktop serve come un importante promemoria dell’importanza della sicurezza informatica proattiva e della necessità di una collaborazione continua tra ricercatori, vendor e utenti finali per mantenere sicuri i nostri sistemi digitali.

Fonte: https://cybersecuritynews.com/parallels-desktop-0-day-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto