A VMware Tools egyik fontos biztonsági rése megnyithatja az utat a helyi jogosultságok kiszélesítéséhez (LPE), valamint a fontos vállalati adatoknak, felhasználói adatoknak és hitelesítési adatoknak, valamint alkalmazásoknak helyet adó virtuális gépek teljes átvételéhez.
A VMware Tools olyan szolgáltatások és modulok készlete, amelyek számos szolgáltatást tesznek lehetővé a VMware termékekben, amelyek a vendég operációs rendszerekkel (Guest OS) való felhasználói interakciók kezelésére szolgálnak. Vendég operációs rendszer az a motor, amely egy virtuális gépet működtet.
„Egy rosszindulatú szereplő, aki helyi, nem adminisztrátori hozzáféréssel rendelkezik a vendég operációs rendszerhez, a virtuális gépben root felhasználóként kiterjesztheti a jogosultságokat” – áll a VMware ezen a héten kiadott biztonsági tanácsában, amely megjegyzi, hogy a hiba, amelyet CVE-2022 31676-, a CVSS sebezhetőség-súlyossági skáláján 7.0/10-es besorolást kap.
Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke szerint a kiaknázási utak számos formát ölthetnek.
"A kiadásból nem derül ki, hogy a VMware virtuális konzol felületén keresztül kell-e hozzáférni, vagy a vendég operációs rendszerhez valamilyen távoli hozzáféréssel rendelkező felhasználó, például RDP Windowson vagy shell hozzáférés Linuxon, kihasználhatja-e a biztonsági rést" mondja a Dark Reading. "A vendég operációs rendszerhez való hozzáférést korlátozni kell, de sok olyan eset van, amikor helyi felhasználóként kell bejelentkezni egy virtuális gépre."
A virtualizációs virtuóz javította a problémát, a javított verzió részletei a biztonsági figyelmeztetésben érhetők el. A hibára nincs megoldás, ezért a rendszergazdáknak alkalmazniuk kell a frissítést a kompromisszumok elkerülése érdekében.
A probléma, bár nem kritikus, a lehető leghamarabb javítani kell – figyelmeztet Parkin: „A VMware még a felhőalapú migráció mellett is a virtualizáció egyik legfontosabb eleme marad sok vállalati környezetben, ami problémássá teszi a jogosultságok kiszélesítésének sebezhetőségét.”
A kompromisszumok nyomon követése érdekében John Bambenek, a Netenrich fő fenyegetésvadásza viselkedéselemzés alkalmazását javasolja a hitelesítő adatokkal való visszaélések kimutatására, valamint egy bennfentes fenyegetési programot a problémás alkalmazottak felderítésére, akik esetleg visszaélnek jogos hozzáférésükkel.
„A VMWare (és a kapcsolódó) rendszerek a legkiváltságosabb rendszereket kezelik, és ezek kompromittálása megsokszorozza a fenyegetés szereplőit” – mondja.
A tapasz az a kritikus hiba A hónap elején lehetővé tette a hitelesítés megkerülését a helyszíni VMware-megvalósítások számára, hogy a támadók kezdeti helyi hozzáférést kapjanak, és kihasználhassák a jelenhez hasonló LPE-sebezhetőségeket.
