En vigtig sikkerhedssårbarhed i VMware Tools kan bane vejen for lokal privilegieeskalering (LPE) og fuldstændig overtagelse af virtuelle maskiner, der rummer vigtige virksomhedsdata, brugeroplysninger og legitimationsoplysninger og applikationer.
VMware Tools er et sæt tjenester og moduler, der muliggør flere funktioner i VMware-produkter, der bruges til at administrere brugerinteraktioner med gæsteoperativsystemer (Guest OS). Gæste OS er motoren, der driver en virtuel maskine.
"En ondsindet aktør med lokal ikke-administrativ adgang til Guest OS kan eskalere privilegier som root-bruger i den virtuelle maskine," ifølge VMwares sikkerhedsrådgivning, udstedt i denne uge, som bemærkede, at fejlen, spores som CVE-2022-31676, har en vurdering på 7.0 ud af 10 på CVSS sårbarhed-alvorlighedsskalaen.
Udnyttelsesveje kan antage mange former, ifølge Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber.
"Det er uklart fra udgivelsen, om det kræver adgang gennem VMware virtuelle konsolgrænseflade, eller om en bruger med en form for fjernadgang til gæsteoperativsystemet, såsom RDP på Windows eller shell-adgang til Linux, kan udnytte sårbarheden," han fortæller Dark Reading. "Adgang til Guest OS bør være begrænset, men der er mange use cases, der kræver at logge ind på en virtuel maskine som en lokal bruger."
Virtualiseringsvirtuosen har rettet problemet med patchede versionsdetaljer tilgængelige i sikkerhedsadvarslen. Der er ingen løsninger på fejlen, så administratorer bør anvende opdateringen for at undgå kompromis.
Problemet, selvom det ikke er kritisk, bør stadig rettes så hurtigt som muligt, advarer Parkin: "Selv med cloud-migrering forbliver VMware en fast bestanddel af virtualisering i mange virksomhedsmiljøer, hvilket gør enhver sårbarhed med eskalering af privilegier problematisk."
For at overvåge for kompromis anbefaler John Bambenek, hovedtrusselsjæger hos Netenrich, at implementere adfærdsanalyser for at opdage misbrug af legitimationsoplysninger, samt et insider-trusselprogram til at opdage problemmedarbejdere, der kan misbruge deres allerede legitime adgang.
"VMWare (og relaterede) systemer administrerer de mest privilegerede systemer, og at kompromittere dem er en kraftmultiplikator for trusselsaktører," siger han.
Plastret kommer i hælene på afsløringen af en kritisk fejl tidligere på måneden, som ville tillade autentificeringsomgåelse for lokale VMware-implementeringer for at give angribere indledende lokal adgang og muligheden for at udnytte LPE-sårbarheder som denne.
