Поделиться
Разработчик сервисов IDrive и RemotePC устранил уязвимости, найденные Positive Technologies
Эксперт PT SWARM Егор Филатов помог устранить уязвимости в двух продуктах компании IDrive: одноименном сервисе резервного копирования и приложении для удаленного доступа к компьютеру RemotePC. Дефекты безопасности могли бы позволить нарушителю повысить привилегии в macOS и скомпрометировать данные. Об этом CNews сообщили представители Positive Technologies.
Если уязвимые продукты использовались на корпоративных устройствах, компания теоретически столкнулась бы с риском развития атаки в своей ИТ-инфраструктуре. Производитель был уведомлен в рамках политики ответственного разглашения и выпустил обновление для IDrive и RemotePC.
Ошибка PT-2025-37715 (BDU:2025-08844) затронула IDrive версии 4.0.0.38, а уязвимости PT-2025-34884 (BDU:2025-08845) была подвержена RemotePC 7.7.38. Обе бреши получили по 7 баллов из 10 по шкале CVSS 4.0. Нарушитель гипотетически мог проэксплуатировать их, чтобы повысить права на устройстве до уровня суперпользователя (root), что дало бы ему полный контроль над системой. Это позволило бы ему выполнять любые операции на компьютере пользователя, например скомпрометировать данные, запустить вирус-шифровальщик или изменить защитные механизмы для дальнейшего развития атаки. Если бы уязвимое приложение было установлено на рабочем устройстве, злоумышленник мог бы закрепиться в корпоративной сети и нарушить бизнес-процессы организации.
До закрытия брешей угрозу для пользователей представляли компоненты с повышенными привилегиями, которые необходимы IDrive для доступа к файлам на устройстве, а RemotePC — для работы с опасными разрешениями macOS. Эти компоненты мог редактировать любой пользователь с правами администрирования, автоматически присваиваемыми владельцам компьютеров Apple.
«Нарушитель с помощью вредоносной программы мог завладеть доступом к привилегированным файлам IDrive и RemotePC, которые как раз и запускаются с правами суперпользователя, а затем заменить один из файлов собственным ПО, — сказал Егор Филатов, младший специалист группы исследования безопасности мобильных приложений, Positive Technologies. — При следующем перезапуске системы права атакующего были бы автоматически повышены, после чего он потенциально получил бы полный контроль над устройством».
Для исправления ошибки необходимо как можно скорее обновить IDrive до версии не ниже 4.0.0.43 и RemotePC — не ниже 7.7.38. Если установить исправление не удается, эксперт PT SWARM рекомендует ограничить привилегированным файлам приложений права на редактирование. Путь к этим файлам для IDrive выглядит следующим образом: /Library/Application Support/IDriveforMac/IDriveHelperTools/bin/newbin/IDriveDaemonHelper; /Library/Application Support/IDriveforMac/IDriveHelperTools/IDriveDaemon.app/Contents/MacOS/IDriveDaemon; /Library/Application Support/IDriveforMac/IDriveHelperTools/IDSyncDaemon.app/Contents/MacOS/IDSyncDaemon.
Путь к привилегированным файлам RemotePC: /Library/Application Support/RPCForMac/RemoteDPCSService; /Library/Application Support/RPCForMac/RemotePCHelper
В 2025 г. Егор Филатов поспособствовал исправлению уязвимости PT-2025-25226, также связанной с повышением привилегий в системе. В августе 2025 г. он помог укрепить защиту Tunnelblick, графического пользовательского интерфейса OpenVPN. До устранения дефект безопасности давал нарушителю теоретическую возможность скомпрометировать данные и развить атаку в корпоративной сети.
Короткая ссылка
