Le chercheur en sécurité Mickey Jin a publié sur son blog deux méthodes pour exploiter une faille de sécurité dans Parallels Desktop, une faille que l’on pensait pourtant comblée depuis des mois. En effet, il s’agit de la même faille liée à l’installateur utilisé sur les Mac Intel qui permet d’obtenir un accès root dans macOS, un défaut révélé et normalement corrigé en mai 2024. Bien des mois plus tard, ce nouveau chercheur en sécurité dispose pourtant de deux méthodes pour l’exploiter, dont une qui fonctionne encore avec la dernière version de Parallels Desktop, comme il le prouve avec cette vidéo.
S’il publie cette faille « 0-day » (jamais connue jusque-là) sans attendre de mise à jour, c’est parce qu’il l’a découverte dès le 31 mai, le lendemain de la publication de la faille initiale. Il a immédiatement notifié Zero Day Initiative (ZDI), un organisme de Trend Micro qui récompense les chercheurs en sécurité pour les failles qu’ils dénichent. L’organisme a attendu six semaines avant de commencer à vérifier les découvertes de Mickey Jin et entre temps, Parallels Desktop avait reçu une nouvelle mise à jour qui comblait trop rapidement la faille.
Le chercheur a tout aussi rapidement trouvé une autre méthode pour contourner les protections mises en place par les créateurs de Parallels Desktop. Cette fois, il a alerté l’entreprise directement et reçu une confirmation que la faille allait être analysée et corrigée le 23 juillet 2024. Puis plus rien pendant sept mois, un silence complet et l’absence de correctifs qui ont fini par convaincre Mickey Jin de publier l’information sur son blog pour avertir les utilisateurs de l’app. Pour l’heure, Parallels Desktop n’a pas communiqué sur le sujet, mais on peut espérer que la publication de la faille les pousse à corriger la faille et cette fois, le faire plus sérieusement que la précédente.
Si le sujet vous intéresse, vous trouverez sur son blog tous les détails techniques et le procédé suivi par le chercheur en sécurité pour contourner les protections en place. Dans tous les cas, la source du problème est l’outil createinstallmedia qui est utilisé pour installer Parallels Desktop et qui est remplacé par une version malveillante qui obtient les privilèges root à l’insu de l’utilisateur. Cela ne concerne que les Mac Intel, ceux sous Apple Silicon exploitent un autre composant, et votre meilleure défense jusqu’à nouvel ordre est de n’installer que le paquet fourni directement par le développeur.
Source :
