Parallels Desktop: Zero-Day-Exploit verleiht Angreifern Root-Zugriff auf MacOS
In der unter Mac-Nutzern weitverbreiteten Virtualisierungssoftware Parallels Desktop klafft eine kritische Sicherheitslücke, die es Angreifern ermöglicht, auf einem Zielsystem Root-Rechte zu erlangen. Die als CVE-2024-34331(öffnet im neuen Fenster) registrierte Schwachstelle wurde bereits im Mai 2024 aufgedeckt(öffnet im neuen Fenster) und ist eigentlich schon seit Monaten gepatcht. Der Sicherheitsforscher Mickey Jin fand jedoch einen Weg, den Patch zu umgehen.
Technische Details dazu teilt Jin in einem Blogbeitrag(öffnet im neuen Fenster) . Dort spricht er von einem Zero-Day-Exploit und gibt an, dass bis heute kein Patch verfügbar ist, der Angriffe auf CVE-2024-34331 effektiv abwehrt. Er habe seine Entdeckungen zwar an die Zero Day Initiative (ZDI) und den Hersteller Parallels gemeldet, jedoch seien deren Reaktionen "äußerst unbefriedigend" ausgefallen.
Ein wenig effektiver Patch
CVE-2024-34331 basiert auf einer fehlenden Signaturprüfung in Parallels Desktop für Mac bis einschließlich Version 19.3.0. Um dieses Problem zu beheben, baute der Hersteller eine entsprechende Prüfung ein. Bei dieser besteht jedoch offenbar ein sogenanntes Time-of-Check-to-Time-of-Use-Problem ( TOCTOU(öffnet im neuen Fenster) ).
Laut Jin hat ein Angreifer nach dem Bestehen der Signaturprüfung genug Zeit, das von Parallels verwendete und von Apple bereitgestellte Tool createinstallmedia(öffnet im neuen Fenster) , mit dem sich startfähige Installationsprogramme für MacOS erstellen lassen, durch eine bösartige Alternative zu ersetzen. Wie das im Detail funktioniert, zeigt der Forscher anhand eines Exploit-Skripts. Das testete er mit Version 19.4.0 von Parallels Desktop.
Jin meldete seine Umgehungstechnik nach eigenen Angaben schon am 31. Mai 2024 an die ZDI - und damit nur einen Tag nachdem CVE-2024-34331 vom ursprünglichen Entdecker der Sicherheitslücke offengelegt wurde(öffnet im neuen Fenster) . Jedoch untersuchte die ZDI das Problem wohl erst sechs Wochen später. Dabei griff die Organisation auf eine neuere Version (19.4.1) von Parallels Desktop zurück, mit der sie den Angriff nicht reproduzieren konnte.
Monatelange Funkstille
Offenkundig hatte sich mit Version 19.4.1 also etwas geändert, so dass der Angriff von Jin nicht mehr funktionierte. Der Forscher fand jedoch erneut einen Weg, CVE-2024-34331 wieder ausnutzbar zu machen. Dieses Mal, am 22. Juli 2024, meldete er seine Entdeckung direkt an Parallels. Nur einen Tag später erhielt der Forscher eine Antwort. Ein Security-Ingenieur von Parallels versicherte darin, er werde das Problem untersuchen. Danach trat jedoch Funkstille ein.
Trotz mehrfacher Rückfragen soll Jin über mehrere Monate hinweg keine Antwort erhalten haben. Am 20. Februar 2025 entschied er sich schließlich, seine Entdeckungen zu veröffentlichen. "Da der Hersteller Parallels sich taub und stumm stellt, muss ich den Zero-Day-Exploit jetzt offenlegen" , schrieb er in seinem Blog. "Mein Ziel ist es, das Bewusstsein zu schärfen und die Benutzer aufzufordern, die Risiken proaktiv zu minimieren, da Angreifer diese Schwachstelle in freier Wildbahn ausnutzen könnten."
Bei weiteren Tests habe Jin festgestellt, dass Parallels die Änderungen aus Version 19.4.1 inzwischen wieder rückgängig gemacht habe, so dass seine erste Umgehungstechnik ab Version 20.2.1 von Parallels Desktop wieder funktioniere. Wie der Angriff abläuft, demonstriert der Forscher in einem Videoclip auf Youtube(öffnet im neuen Fenster) . Laut Bleeping Computer(öffnet im neuen Fenster) äußerte sich Parallels auf Nachfrage bisher noch nicht zu Jins Vorwürfen.