Deux exploits différents pour une vulnérabilité d’élévation de privilèges Parallels Desktop non corrigée ont été divulgués publiquement, permettant aux utilisateurs d’obtenir un accès root sur les appareils Mac concernés.
Parallels Desktop est un logiciel de virtualisation qui permet aux utilisateurs de Mac d’exécuter Windows, Linux et d’autres systèmes d’exploitation parallèlement à macOS. Il est très populaire parmi les développeurs, les entreprises et les utilisateurs occasionnels qui ont besoin d’applications Windows sur leur Mac sans redémarrer.
Le chercheur en sécurité Mickey Jin a publié les exploits la semaine dernière, démontrant un contournement des correctifs du fournisseur pour CVE-2024-34331, une faille d’élévation de privilèges corrigée en septembre.
Cette faille, découverte pour la première fois en mai 2024 par Mykola Grymalyuk, provenait d’un manque de vérification de la signature de code dans Parallels Desktop pour Mac.
Jin dit qu’il a publié les exploits pour le contournement du correctif zero-day après que le développeur l’aurait laissé non corrigé pendant plus de sept mois.
« Étant donné que le fournisseur a laissé cette vulnérabilité sans réponse pendant plus de sept mois—malgré la divulgation préalable—j’ai choisi de divulguer publiquement cet exploit de 0 jour », explique Jin dans un article technique.
« Mon objectif est de sensibiliser et d’exhorter les utilisateurs à atténuer les risques de manière proactive, car les attaquants pourraient exploiter cette faille dans la nature. »
Contourner le correctif de Parallels
Le correctif d’origine de Parallels a tenté d’empêcher l’exécution de code non fiable en vérifiant si l’outil « createinstallmedia » est signé Apple avant de lui accorder les privilèges root.
Cependant, Jin a démontré que cette vérification était défectueuse, permettant aux attaquants de la contourner d’au moins deux manières.
La première consiste à effectuer une attaque de l’heure de vérification à l’heure d’utilisation (TOCTOU) pour exploiter une condition de concurrence entre vérifier si ‘createinstallmedia’ est signé Apple et l’exécuter avec les privilèges root.
Un attaquant dépose un faux programme d’installation de macOS, attend que Parallels vérifie le binaire ‘createinstallmedia’ signé Apple, puis le remplace rapidement par un script malveillant avant son exécution, obtenant ainsi les privilèges root.
Le deuxième exploit est une attaque via la fonction’ do_repack_manual ‘ qui est vulnérable aux écrasements arbitraires de fichiers propres à la racine.
En manipulant la fonction’ do_repack_manual’ , un attaquant redirige un dossier privilégié à l’aide de liens symboliques, incite Parallels à écrire des fichiers contrôlés par l’attaquant sur un chemin appartenant à root et remplace ‘p7z_tool’, qui est exécuté en tant que root.
Statut des correctifs
Jin a découvert les contournements potentiels peu de temps après avoir lu l’article de Mykola et informé Parallels en juin 2024.
Le chercheur affirme que le fournisseur a promis d’examiner son rapport, mais malgré trois demandes ultérieures de mise à jour (la dernière remonte au 19 février 2025), Parallels n’a pas répondu.
Le chercheur prévient que son premier exploit, impliquant l’attaque TOCTOU, fonctionne sur la dernière version de Parallels, 20.2.1 (55876), et toutes les versions de 19.4.0 et plus anciennes.
Parallels a modifié le processus de reconditionnement dans la version 19.4.1, passant de ‘do_repack_createinstallmedia’ à ‘do_repack_manual’, brisant l’exploit.
Cependant, ce changement a introduit une nouvelle vulnérabilité qui permet à un attaquant d’écraser des fichiers arbitraires appartenant à la racine, rendant le deuxième exploit possible.
Les modifications ont été annulées dans la dernière version (20.2.1), donc l’exploit fonctionne à nouveau.
En conclusion, toutes les versions connues de Parallels Desktop, y compris la dernière, sont vulnérables à au moins un exploit.
Breachtrace a contacté Parallels pour lui demander un commentaire sur les conclusions et le rapport de Jin, mais aucune déclaration n’était immédiatement disponible.