Een belangrijk beveiligingslek in VMware Tools zou de weg kunnen effenen voor lokale privilege-escalatie (LPE) en de volledige overname van virtuele machines die belangrijke bedrijfsgegevens, gebruikersinformatie en -referenties en applicaties bevatten.
VMware Tools is een reeks services en modules die verschillende functies in VMware-producten mogelijk maken die worden gebruikt om gebruikersinteracties met gastbesturingssystemen (Guest OS) te beheren. Gast-besturingssysteem is de motor die een virtuele machine aandrijft.
"Een kwaadwillende actor met lokale niet-beheerderstoegang tot het gastbesturingssysteem kan privileges als rootgebruiker in de virtuele machine escaleren", aldus het beveiligingsadvies van VMware, dat deze week werd uitgegeven, waarin werd opgemerkt dat de bug, bijgehouden als CVE-2022-31676, heeft een score van 7.0 op 10 op de CVSS-kwetsbaarheidsernstschaal.
Exploitatiepaden kunnen vele vormen aannemen, volgens Mike Parkin, senior technisch ingenieur bij Vulcan Cyber.
"Het is vanaf de release onduidelijk of het toegang vereist via de virtuele VMware-console-interface of dat een gebruiker met een of andere vorm van externe toegang tot het gastbesturingssysteem, zoals RDP op Windows of shell-toegang voor Linux, de kwetsbaarheid zou kunnen misbruiken", zegt hij. vertelt Donkere Lezing. "Toegang tot gast-besturingssysteem zou beperkt moeten zijn, maar er zijn veel gevallen waarbij u als lokale gebruiker op een virtuele machine moet inloggen."
De virtualisatievirtuoos heeft het probleem verholpen, met details over de gepatchte versie in de beveiligingswaarschuwing. Er zijn geen oplossingen voor de fout, dus beheerders moeten de update toepassen om compromissen te voorkomen.
Hoewel het probleem niet kritiek is, moet het toch zo snel mogelijk worden gepatcht, waarschuwt Parkin: "Zelfs met cloudmigratie blijft VMware een hoofdbestanddeel van virtualisatie in veel bedrijfsomgevingen, wat elke kwetsbaarheid voor privilege-escalatie problematisch maakt."
Om te controleren op compromissen, raadt John Bambenek, principal threat hunter bij Netenrich, aan om gedragsanalyses in te zetten om misbruik van inloggegevens op te sporen, evenals een insider threat-programma om probleemmedewerkers op te sporen die misbruik kunnen maken van hun toch al legitieme toegang.
"VMWare-systemen (en gerelateerde) systemen beheren de meest bevoorrechte systemen, en het compromitteren ervan is een krachtvermenigvuldiger voor dreigingsactoren", zegt hij.
De patch komt op de hielen van de onthulling van een kritieke bug eerder deze maand zou dat authenticatie-bypass voor on-premises VMware-implementaties mogelijk maken, om aanvallers initiรซle lokale toegang te geven en de mogelijkheid te geven om LPE-kwetsbaarheden zoals deze te misbruiken.
