Две программы и единая схема взлома: эксперт PT SWARM обнаружил уязвимость в системе защиты

Административные права как слабое место корпоративной защиты

Компания IDrive, известная одноимённым облачным сервисом резервного копирования и приложением RemotePC для удалённого доступа, закрыла критические уязвимости в своих продуктах для macOS. Проблемы безопасности были выявлены специалистом команды PT SWARM (Positive Technologies) и могли привести к утечке данных пользователей, а при корпоративном использовании — к риску для всей IT-инфраструктуры.

Уязвимости зарегистрированы под номерами PT-2025-37715 и PT-2025-34884 и затронули версии IDrive 4.0.0.38и RemotePC 7.7.38. По шкале CVSS 4.0 каждая получила 7 баллов из 10. Ошибка заключалась в том, что злоумышленник, имея доступ к системе, мог подменить исполняемые файлы сервисов, работающих от имени суперпользователя, и тем самым добиться автоматического повышения привилегий после перезапуска компьютера. Такой сценарий открывал путь к захвату управления устройством и распространению атаки в корпоративной сети.

Суть проблемы связана с тем, что ряд компонентов приложений требовал прав root для работы с файлами и выполнения операций. Однако поскольку macOS по умолчанию предоставляет владельцу устройства административные полномочия, эти файлы могли быть изменены. Злоумышленник мог использовать такую особенность, внедрив вредоносный код, который запускался бы с максимальными правами.

Производитель был уведомлён в рамках ответственного раскрытия и уже выпустил обновления. Для устранения уязвимостей рекомендуется установить:

• IDrive версии не ниже 4.0.0.43,
• RemotePC 7.7.38 или более новую.

Если обновиться невозможно, стоит вручную ограничить доступ к следующим исполняемым файлам:

IDrive:

• /Library/Application Support/IDriveforMac/IDriveHelperTools/bin/newbin/IDriveDaemonHelper
• /Library/Application Support/IDriveforMac/IDriveHelperTools/IDriveDaemon.app/Contents/MacOS/IDriveDaemon
• /Library/Application Support/IDriveforMac/IDriveHelperTools/IDSyncDaemon.app/Contents/MacOS/IDSyncDaemon

RemotePC:

• /Library/Application Support/RPCForMac/RemoteDPCSService
• /Library/Application Support/RPCForMac/RemotePCHelper

По данным PeerSpot, сервис IDrive занимает 20-е место среди облачных решений для резервного копирования, а RemotePC стабильно входит в число популярных инструментов для удалённого доступа. Поэтому масштаб потенциальных последствий от обнаруженных уязвимостей особенно высок для бизнеса.

Стоит отметить, что это не первый вклад младшего исследователя PT SWARM Егора Филатова в повышение безопасности macOS. Ранее он помог разработчикам закрыть критическую уязвимость в Tunnelblick, клиентском интерфейсе для OpenVPN.

Для своевременного мониторинга подобных рисков можно использовать платформу dbugs, где публикуются данные об уязвимостях и официальные рекомендации производителей. Дополнительно для защиты корпоративных устройств от атак с повышением привилегий применяются EDR-решения, способные блокировать вредоносные действия ещё на ранних этапах.