Eine als wichtig eingestufte Sicherheitslücke in VMware Tools könnte den Weg für eine lokale Privilegieneskalation (LPE) und eine vollständige Übernahme virtueller Maschinen ebnen, die wichtige Unternehmensdaten, Benutzerinformationen und Anmeldeinformationen sowie Anwendungen enthalten.
VMware Tools ist eine Reihe von Diensten und Modulen, die verschiedene Funktionen in VMware-Produkten aktivieren, die zum Verwalten von Benutzerinteraktionen mit Gastbetriebssystemen (Gast-BS) verwendet werden. Gastbetriebssystem ist die Engine, die eine virtuelle Maschine antreibt.
„Ein böswilliger Akteur mit lokalem nicht-administrativem Zugriff auf das Gastbetriebssystem kann die Berechtigungen als Root-Benutzer in der virtuellen Maschine eskalieren“, heißt es in der Sicherheitsempfehlung von VMware, die diese Woche veröffentlicht wurde und feststellte, dass der Fehler verfolgt wurde CVE-2022-31676, hat eine Bewertung von 7.0 von 10 auf der CVSS-Schweregradskala für Schwachstellen.
Ausbeutungspfade könnten laut Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, viele Formen annehmen.
„Aus der Veröffentlichung ist unklar, ob der Zugriff über die virtuelle VMware-Konsolenschnittstelle erforderlich ist oder ob ein Benutzer mit einer Form von Fernzugriff auf das Gastbetriebssystem, wie z. B. RDP unter Windows oder Shell-Zugriff für Linux, die Schwachstelle ausnutzen könnte“, er erzählt Dark Reading. „Der Zugriff auf das Gastbetriebssystem sollte begrenzt sein, aber es gibt viele Anwendungsfälle, die eine Anmeldung bei einer virtuellen Maschine als lokaler Benutzer erfordern.“
Der Virtualisierungsvirtuose hat das Problem gepatcht, wobei Details zur gepatchten Version in der Sicherheitswarnung verfügbar sind. Es gibt keine Problemumgehungen für den Fehler, daher sollten Administratoren das Update anwenden, um eine Gefährdung zu vermeiden.
Das Problem ist zwar nicht kritisch, sollte aber dennoch so schnell wie möglich gepatcht werden, warnt Parkin: „Auch bei der Cloud-Migration bleibt VMware ein Grundpfeiler der Virtualisierung in vielen Unternehmensumgebungen, was jede Schwachstelle bei der Rechteausweitung problematisch macht.“
Zur Überwachung auf Kompromittierung empfiehlt John Bambenek, Principal Threat Hunter bei Netenrich, den Einsatz von Verhaltensanalysen, um den Missbrauch von Anmeldeinformationen aufzudecken, sowie ein Insider-Bedrohungsprogramm, um problematische Mitarbeiter zu erkennen, die ihren bereits legitimen Zugang missbrauchen könnten.
„VMWare- (und verwandte) Systeme verwalten die privilegiertesten Systeme, und ihre Kompromittierung ist ein Kraftmultiplikator für Bedrohungsakteure“, sagt er.
Der Patch folgt auf die Enthüllung von a kritischer Bug Anfang dieses Monats, das die Umgehung der Authentifizierung für lokale VMware-Implementierungen ermöglichen würde, um Angreifern anfänglichen lokalen Zugriff und die Möglichkeit zu geben, LPE-Schwachstellen wie diese auszunutzen.
