MaxPatrol EDR
Обнаруживает и молниеносно реагирует на вредоносные действия
Под угрозой могли оказаться пользователи операционной системы macOS, использующие эти сервисы
Эксперт PT SWARM Егор Филатов помог устранить уязвимости в двух продуктах компании IDrive: одноименном сервисе резервного копирования и приложении для удаленного доступа к компьютеру RemotePC. Дефекты безопасности могли бы позволить нарушителю повысить привилегии в macOS и скомпрометировать данные. Если уязвимые продукты использовались на корпоративных устройствах, компания теоретически столкнулась бы с риском развития атаки в своей IT-инфраструктуре. Производитель был уведомлен в рамках политики ответственного разглашения и выпустил обновление для IDrive и RemotePC.
По данным платформы PeerSpot, программа IDrive занимает 20-е место среди сервисов для резервного копирования данных в «облако». Приложение RemotePC также отмечено в числе ключевых решений для удаленного доступа к компьютеру.
Ошибка PT-2025-37715 (BDU:2025-08844) затронула IDrive версии 4.0.0.38, а уязвимости PT-2025-348841 (BDU:2025-08845) была подвержена RemotePC 7.7.38. Обе бреши получили по 7 баллов из 10 по шкале CVSS 4.0. Нарушитель гипотетически мог проэксплуатировать их, чтобы повысить права на устройстве до уровня суперпользователя (root), что дало бы ему полный контроль над системой. Это позволило бы ему выполнять любые операции на компьютере пользователя, например скомпрометировать данные, запустить вирус-шифровальщик или изменить защитные механизмы для дальнейшего развития атаки. Если бы уязвимое приложение было установлено на рабочем устройстве, злоумышленник мог бы закрепиться в корпоративной сети и нарушить бизнес-процессы организации.
До закрытия брешей угрозу для пользователей представляли компоненты с повышенными привилегиями, которые необходимы IDrive для доступа к файлам на устройстве, а RemotePC — для работы с опасными разрешениями2 macOS. Эти компоненты мог редактировать любой пользователь с правами администрирования, автоматически присваиваемыми владельцам компьютеров Apple.
1 Оба недостатка безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
2 Разрешения, представляющие угрозу конфиденциальности пользовательских данных и позволяющие, в частности, просматривать экран, захватывать изображение с камеры и удаленно выполнять настройку macOS.
«Нарушитель с помощью вредоносной программы мог завладеть доступом к привилегированным файлам IDrive и RemotePC, которые как раз и запускаются с правами суперпользователя, а затем заменить один из файлов собственным ПО. При следующем перезапуске системы права атакующего были бы автоматически повышены, после чего он потенциально получил бы полный контроль над устройством».
Егор ФилатовМладший специалист группы исследования безопасности мобильных приложений, Positive Technologies
Для исправления ошибки необходимо как можно скорее обновить IDrive до версии не ниже 4.0.0.43 и RemotePC — не ниже 7.7.38. Если установить исправление не удается, эксперт PT SWARM рекомендует ограничить привилегированным файлам приложений права на редактирование. Путь к этим файлам для IDrive выглядит следующим образом:
- /Library/Application Support/IDriveforMac/IDriveHelperTools/bin/newbin/IDriveDaemonHelper
- /Library/Application Support/IDriveforMac/IDriveHelperTools/IDriveDaemon.app/Contents/MacOS/IDriveDaemon
- /Library/Application Support/IDriveforMac/IDriveHelperTools/IDSyncDaemon.app/Contents/MacOS/IDSyncDaemon
Путь к привилегированным файлам RemotePC:
- /Library/Application Support/RPCForMac/RemoteDPCSService
- /Library/Application Support/RPCForMac/RemotePCHelper
В 2025 году Егор Филатов поспособствовал исправлению уязвимости PT-2025-25226, также связанной с повышением привилегий в системе. В августе он помог укрепить защиту Tunnelblick, графического пользовательского интерфейса OpenVPN. До устранения дефект безопасности давал нарушителю теоретическую возможность скомпрометировать данные и развить атаку в корпоративной сети.
Снизить риск удаленного выполнения кода на конечных точках, в том числе при повышении злоумышленником привилегий в системе, смогут решения класса EDR, например MaxPatrol EDR. Обнаружив вредоносную активность, продукт отправляет уведомление в MaxPatrol SIEM и не дает злоумышленнику продолжить атаку.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
