Parallels高危漏洞的奇葩修复指南

Parallels Desktop的制造商已针对影响其Parallels Desktop 16 for Mac软件和所有旧版本的高危权限提升漏洞发布了解决方法。研究人员在4月份首次发现该漏洞的5个月后，提出了缓解建议。

据该公司称，Parallels Desktop现在由私募股权巨头KKR所有，目前拥有700万用户。它使得Mac用户可以在他们的macOS上运行Windows、Linux和其他操作系统。

该漏洞允许在Parallels虚拟机（VM）中运行的恶意软件访问在软件默认配置中共享的macOS文件。该软件制造商表示，建议的修复需要由最终用户手动执行，并且可能会给某些人带来“不便”，同时还会降低产品性能。

周三的安全公告中首先广泛披露了该漏洞的详细信息。该漏洞（CVE-2021-34864）是由Parallels的WinAppHelper组件中的不当访问控制引起的。据Parallels称，该漏洞与该软件的Parallels Tools相关，Parallels Tools是主机macOS与虚拟机操作系统之间通信的代理。

一个易于利用的漏洞

周三发布的另一份安全公告称：“这个漏洞是由于缺乏适当的访问控制造成的。攻击者可以利用此漏洞在虚拟机管理程序的上下文中提升权限并执行任意代码。”

通用漏洞评分系统3.0版将该漏洞的严重性评为高（8.8）。该公告还警告说，该漏洞利用所需的复杂程度“很低”。

Parallels 解释道：“默认情况下，Parallels Desktop在Mac和VM之间共享文件和文件夹，因此用户可以轻松地从虚拟机中运行的应用程序中打开macOS文件并将文档保存到Mac。”“此功能向VM公开用户主文件夹。该文件夹可能包含恶意软件可以访问的配置文件、来自不同应用程序的缓存等。”

Parallels建议用户通过重新配置软件或升级到最新版本（8月10日发布的Parallels Desktop 17 for Mac）来缓解该漏洞。

根据漏洞的摘要描述：“Parallels Desktop 17 for Mac以及更新的版本不受影响。默认情况下，整个主文件夹不再与虚拟机共享，只有选定的文件夹会进行共享，如桌面、文档、下载等。”

该公司补充说：“此漏洞允许本地恶意用户提升对受影响的Parallels Desktop安装的权限。攻击者必须首先获得在目标客户系统上执行低特权代码的能力，然后才能利用此漏洞。”

披露时间表

该漏洞最初是由安全研究人员Sunjoo Park和Jack Dates于4月8日在Trend Micro的Pawn2Own Austin活动期间发现的。据该活动的组织者称，由于他们的努力，研究人员每人获得了40,000美元。

8月10日，Parallels在其知识库中发布了有关该漏洞的信息，标题为“在Parallels Desktop 16及更早版本中缓解ZDI-CAN-13543”。该帖子描述了他们在4月份的发现以及用户为了保护自己而需要采取的缓解措施。周三，一些安全警报发布了该漏洞的识别号（CVE-2021-34864），并将其评为高危等级。

最坏的情况是，恶意软件或威胁行为者破坏或逃脱Windows的虚拟实例，从而感染系统。Parallel 没有回复记者就本文发表评论的请求。

不方便的修复

要缓解该漏洞，Parallels Desktop 16 for Mac用户（和其他旧版本用户）有多种选择。第一个选项是升级到Parallels Desktop 17 for Mac，它没有这个漏洞。目前尚不清楚受影响的客户是否需要为标准版支付50美元的一次性升级费用，以通过升级来缓解该缺陷。

对于运行Parallels Desktop 16或更早版本软件的客户，该公司表示他们可用的修复程序将“减少软件的功能”并造成“不便”，例如在跨虚拟机和主机macOS共享文档时文件重复。

“如果你不打算在VM中运行不受信任的代码，建议遵循常见的安全措施。”“如果您在VM中运行不受信任的代码，并且希望将VM与Mac隔离，那么可以采取以下的措施。”

根据Parallels的说法，这些选项包括：

如KB 6912中所述，禁用共享文件夹。共享配置文件功能也将被禁用，您将无法再在VM中打开Mac文件或将文件保存到Mac。点击KB 6912了解更多信息。
或者，按照KB 112942中的说明将VM与Mac隔离。隔离后，文件夹、文件、应用程序和外部驱动器不会在两个操作系统之间共享。通常，VM无法访问Mac上的任何信息。隔离虚拟机可提供最高级别的安全性。

虽然上述措施缓解了安全问题，但它也消除了Parallels的卖点之一：“在Mac和Windows之间无缝移动和共享内容。”

目前还不清楚将系统配置为将VM guest与主机操作系统隔离的macOS用户是否可以缓解该漏洞。

研究人员倾向Parallels

虽然Parallels Desktop for Mac不是作为网络安全研究工具销售的，但许多网站推荐这种类型的使用场景。

Parallels只是macOS用户运行备用操作系统的众多虚拟机选项之一。其他包括Apple自己的Boot Camp功能、VirtualBox和VMWare for macOS。

最近，由于苹果公司新推出的基于ARM的Mac电脑（其中包含M1芯片）中的Boot Camp已被删除,人们对Parallels的兴趣开始增加。在M1 Mac上安装Windows 10需要Microsoft操作系统的ARM副本。

Apple软件工程高级副总裁Craig Federighi在Daring Fireball播客中表示，Apple未来不打算支持基于ARM的Mac上的Boot Camp。

Parallels瞄准了这个机会，于4月14日发布了Parallels Desktop 16 for Mac更新，该更新支持带有Apple M1芯片的Mac电脑。

我有整理了网络安全相关的学习资料

【资料详细】