**Актуально на 20 сентября 2025**
Специалист PT SWARM (Positive Technologies) сообщил об устранении опасных недоработок в двух популярных продуктах для macOS — IDrive (резервное копирование) и RemotePC (удалённый доступ). Проблема носила системный характер: в обоих случаях атакующий с локальным доступом мог подменить исполняемые файлы, запускаемые с правами root, и добиться повышения привилегий после перезагрузки. В корпоративной среде такая «эскалация» открывает путь к обходу политик, захвату учёток и развитию атаки внутри сети.
Уязвимости получили идентификаторы PT‑2025‑37715 (IDrive) и PT‑2025‑34884 (RemotePC) и оценку порядка 7 баллов по CVSS 4.0. Производитель оперативно выпустил обновления: для IDrive рекомендуется версия не ниже 4.0.0.43; для RemotePC — актуальная сборка ветки 7.7.х (см. релиз‑ноты в панели обновлений). Если автообновления невозможны, специалисты советуют вручную ограничить доступ к критическим бинарникам, которые используются сервисами приложений при старте системы.
Почему такие баги регулярно возникают на macOS? На пользовательских Mac владельцы по умолчанию обладают административными правами и часто не отделяют «повседневный» профиль от «админского». Это создаёт простор для цепочек «социалка → локальное исполнение → эскалация → закрепление». В связке с EDR‑обходами и злоупотреблением разрешениями Accessibility последствия для компании могут быть весьма серьёзными.
**Практические шаги для macOS‑флота**
– Немедленно обновить затронутые продукты; проверить, что сервисы действительно перезапущены.
– Включить контроль целостности (например, мониторинг хэшей) для исполняемых файлов сервисов с повышенными правами.
– Развести учётные записи: повседневная — без админ‑прав; админ‑действия — только через отдельный профиль/MFA.
– Настроить MDM‑политику: запрет несторовых источников, whitelisting приложений и контроль разрешений.
– В SOC завести поведенческие правила: детект перезаписи бинарников в «/Library/Application Support/…», появления новых LaunchAgent/LaunchDaemon, подозрительных post‑reboot‑активностей.
**Вывод.** История напоминает: угроза эскалации привилегий — не абстракция, а системный класс рисков «между ИТ и ИБ». Там, где обновления и базовые процессы на месте, даже критичные уязвимости оборачиваются неприятностью, а не кризисом.
Источник: SecurityLab
