Se han revelado públicamente dos exploits diferentes para una vulnerabilidad de elevación de privilegios de Parallels Desktop, lo que permite a los usuarios maliciosos obtener acceso root en dispositivos MAC afectados.
Primer exploit que afecta al software Parallels Desktop para macOS
Parallels Desktop es un software de virtualización que permite a los usuarios de Mac ejecutar Windows, Linux y otros sistemas operativos junto con MacOS. Es muy popular entre los desarrolladores, empresas y usuarios que necesitan aplicaciones de Windows en sus Mac sin reiniciar.
El investigador de seguridad Mickey Jin publicó las exploits la semana pasada, demostrando un bypass de las correcciones del proveedor para CVE-2024-34331 , una falla de elevación de privilegios solucionada en septiembre.
Ese defecto, descubierto por primera vez en mayo de 2024 por Mykola Grymalyuk, surgió de la falta de verificación de firma de código en Parallels Desktop para Mac.
Mickey Jin dice que lanzó las exploits para el bypass de parche de zero-day después de que el desarrollador supuestamente lo dejó sin solucionar durante más de siete meses.
«Dado que el proveedor ha dejado esta vulnerabilidad sin abordar durante más de siete meses, a pesar de la divulgación previa, he optado por revelar públicamente esta exploit de zero-day«, explica Jin en una redacción técnica. «Mi objetivo es crear conciencia e instar a los usuarios a mitigar los riesgos de manera proactiva, ya que los atacantes podrían aprovechar este defecto en la naturaleza«.
Solución al Bypassing de Parallels
El parche original de Parallels intentó evitar la ejecución del código no confiable al verificar si la herramienta ‘CreateInstallMedia’ está firmada por Apple antes de otorgarle privilegios de root. Sin embargo, Jin demostró que esta verificación es defectuosa, lo que permite a los atacantes omitirla de al menos dos maneras.
El primero es realizar un ataque time-of-check a time-of-use (TCTOU) para explotar una condición de carrera entre verificar si ‘CreateInstallMedia’ está firmado y ejecutándolo con privilegios root.
Un atacante deja caer un instalador falso para macOS, espera a Parallels para verificar el binario ‘CreateInstallMedia’ firmado con Apple, y luego lo reemplaza rápidamente con un script malicioso antes de la ejecución, obteniendo privilegios de root.
La vulnerabilidad está contenida en repack.osx.install.app.sh, un script utilizado para repackage macOS instaladores. Jin descubrió dos maneras de eludir la verificación de la firma de Apple, permitiendo la ejecución del código raíz
El segundo exploit es un ataque a través de la función ‘do_repack_manual’ que es vulnerable a las sobrescrituras arbitrarias de los archivos root.
Al manipular la función ‘do_repack_manual’, un atacante redirige una carpeta privilegiada usando enlaces simbólicos, engaña a Parallels a escribir archivos controlados por atacantes a una ruta de propiedad de raíces, y reemplaza ‘p7z-tool’, que se ejecuta como root.
Estado de parches
Jin descubrió los posibles bypasss poco después de leer el escrito de Mykola e informó a Parallels en junio de 2024.
El investigador dice que Parallels prometió investigar su informe, pero a pesar de tres solicitudes posteriores a través de Zero Day Initiative (ZDI), Parallels no respondió.
Mickey Jin advierte que su primera hazaña, que implica el ataque TOCTOU, actúa en la última versión de Parallels, 20.2.1 (55876), y todas las versiones de 19.4.0 y más.
Parallels modificó el proceso de reempaquetado en la versión 19.4.1, cambiando de ‘do.repack-createinstallmedia’ a ‘do-repack-manual’, rompiendo el funcionamiento.
Sin embargo, este cambio introdujo una nueva vulnerabilidad que permite a un atacante sobrescribir archivos arbitrarios propiedad de root, haciendo posible la segunda explotación.
Los cambios se volvieron a modificar en la última versión (20.2.1), por lo que la hazaña está funcionando de nuevo.
En conclusión, todas las versiones conocidas de Parallels Desktop, incluyendo las últimas, son vulnerables a al menos un exploit.
Segundo exploit: el malware FrigidStealer
El otro nuevo exploit, reportado por la firma de seguridad Proofpoint, involucra un nuevo malware llamado Frigidstealer. El ataque ocurre cuando un usuario recibe un correo electrónico que contiene una URL, y cuando el usuario la abre, se lanza una página web con una alerta que indica que el navegador debe actualizarse.
Cuando se hace clic en el botón ACTUALIZAR, se guarda un instalador en la Mac y se le indica al usuario que lo abra el control de control en el icono de la aplicación y seleccionando Abrir desde el menú emergente. Abrir el archivo de esta manera evita Gatekeeper, la seguridad incorporada de macOS que verifica aplicaciones maliciosas. Tras ello, instala el malware.
Tras la ejecución, FrigidStealer usa archivos de script de Apple y Osascript para pedirle al usuario que ingrese su contraseña, y luego para recopilar datos, incluidas las cookies del navegador, archivos con extensiones relevantes para el material de contraseña o la criptomoneda de las carpetas de escritorio y documentos de la víctima, y cualquier Apple notas que el usuario ha creado.
Los ataques de malware Frigidstealer han estado atacados a usuarios fuera de América del Norte. Si se instala, registra información y archivos relacionados con contraseñas, datos de cookies del navegador y cualquier cosa creada en las notas de Apple.
Los investigadores de Probpoint designaron recientemente a dos nuevos actores de amenazas, TA2726 y TA2727. Estos son vendedores de tráfico y distribuidores de malware y se han observado en múltiples deformaciones de ataque basadas en la web, como campañas de sitios web comprometidas, incluidas las que usan señuelos temáticos de actualización falsa. No son actores de amenaza basados en el correo electrónico, y la actividad observada en los datos de la campaña de correo electrónico está relacionada con sitios web legítimos pero comprometidos.
En particular, TA2727 se observó recientemente entregando un nuevo robador de información para computadoras Mac junto con malware para hosts Windows y Android. Los investigadores de Probpoint denominaron este frígido.
Proofpoint reevalúa la actividad existente relacionada con TA569 y los informes anteriores , y evalúa con alta confianza TA2726 actúa como un servicio de distribución de tráfico (TDS) para TA569 y TA2727.
