Две программы, одна методика взлома. Эксперт PT SWARM выявил системную проблему в механизме защиты

IDrive RemotePC PT SWARM Positive Technologies macOS Егор Филатов уязвимость привилегии
Две программы, одна методика взлома. Эксперт PT SWARM выявил системную проблему в механизме защиты
IDrive RemotePC PT SWARM Positive Technologies macOS Егор Филатов уязвимость привилегии

Административные права стали слабым звеном в цепи корпоративной безопасности.

image

Компания IDrive, стоящая за одноимённым сервисом резервного копирования IDrive, а также приложением для удалённого доступа к компьютеру RemotePC, устранила серьёзные уязвимости в своих продуктах для macOS после сообщения от специалиста команды PT SWARM в Positive Technologies. Обнаруженные недоработки могли привести к компрометации пользовательских данных и, в случае корпоративного использования, создать угрозу всей IT-инфраструктуре организации.

Уязвимости получили идентификаторы PT-2025-37715 и PT-2025-34884 и затронули версии IDrive 4.0.0.38 и RemotePC 7.7.38 соответственно. Каждая из них получила по 7 баллов из 10 возможных по шкале CVSS 4.0. Проблема заключалась в том, что злоумышленник, получивший доступ к системе, мог заменить исполняемые файлы приложений, работающих с привилегиями root, и добиться автоматического повышения своих прав после перезагрузки. Это открыло бы путь к захвату управления устройством и развитию атаки внутри сети компании.

Уязвимые компоненты требовали прав суперпользователя для доступа к файлам и выполнения операций. Эти компоненты могли быть изменены владельцами устройств, поскольку macOS по умолчанию предоставляет им административные полномочия. Нарушитель мог воспользоваться этим поведением, внедрив вредоносный код и добившись запуска с максимальными правами.

Производитель был своевременно уведомлён в рамках политики ответственного раскрытия и выпустил обновления, закрывающие обнаруженные бреши. Для IDrive следует установить версию не ниже 4.0.0.43, для RemotePC — 7.7.38. Если обновление невозможно, рекомендовано вручную ограничить доступ к критическим исполняемым файлам:

Для IDrive:

  • /Library/Application Support/IDriveforMac/IDriveHelperTools/bin/newbin/IDriveDaemonHelper
  • /Library/Application Support/IDriveforMac/IDriveHelperTools/IDriveDaemon.app/Contents/MacOS/IDriveDaemon
  • /Library/Application Support/IDriveforMac/IDriveHelperTools/IDSyncDaemon.app/Contents/MacOS/IDSyncDaemon

Для RemotePC:

  • /Library/Application Support/RPCForMac/RemoteDPCSService
  • /Library/Application Support/RPCForMac/RemotePCHelper

По данным платформы PeerSpot, IDrive занимает 20-ю позицию в списке облачных решений для резервного копирования. RemotePC также входит в число популярных инструментов для удалённого доступа. Учитывая масштабы использования, риски от подобных уязвимостей могли быть значительными, особенно в корпоративной среде.

Это не первый случай, когда младший специалист PT SWARM Егор Филатов помогает разработчикам устранить уязвимости, связанные с повышением привилегий в macOS. Ранее он участвовал в закрытии другой критической проблемы в Tunnelblick — интерфейсе для OpenVPN.

Чтобы своевременно отслеживать подобные риски, можно воспользоваться платформой dbugs, где публикуются сведения об уязвимостях и рекомендации производителей. Для дополнительной защиты конечных точек от попыток повышения привилегий могут применяться EDR-системы, способные блокировать вредоносную активность до её развития.