Et viktig sikkerhetssårbarhet i VMware Tools kan bane vei for lokal rettighetseskalering (LPE) og fullstendig overtakelse av virtuelle maskiner som inneholder viktige bedriftsdata, brukerinformasjon og legitimasjon og applikasjoner.
VMware Tools er et sett med tjenester og moduler som muliggjør flere funksjoner i VMware-produkter som brukes til å administrere brukerinteraksjoner med gjesteoperativsystemer (Guest OS). Gjeste-OS er motoren som driver en virtuell maskin.
"En ondsinnet aktør med lokal ikke-administrativ tilgang til gjeste-operativsystemet kan eskalere privilegier som root-bruker i den virtuelle maskinen," ifølge VMwares sikkerhetsråd, utstedt denne uken, som bemerket at feilen, spores som CVE-2022-31676, har en vurdering på 7.0 av 10 på CVSS sårbarhet-alvorlighetsskala.
Utnyttelsesveier kan ha mange former, ifølge Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber.
"Det er uklart fra utgivelsen om det krever tilgang gjennom VMwares virtuelle konsollgrensesnitt eller om en bruker med en eller annen form for ekstern tilgang til gjeste-operativsystemet, for eksempel RDP på Windows eller shell-tilgang for Linux, kan utnytte sårbarheten," han forteller Dark Reading. "Tilgang til gjeste-OS bør være begrenset, men det er mange brukstilfeller som krever å logge på en virtuell maskin som en lokal bruker."
Virtualiseringsvirtuosen har rettet problemet, med detaljer om oppdatering av versjonen tilgjengelig i sikkerhetsvarselet. Det er ingen løsninger for feilen, så administratorer bør bruke oppdateringen for å unngå kompromisser.
Problemet, selv om det ikke er kritisk, bør fortsatt korrigeres så snart det er praktisk mulig, advarer Parkin: "Selv med skymigrering, er VMware fortsatt en fast del av virtualiseringen i mange bedriftsmiljøer, noe som gjør enhver sårbarhet med eskalering av privilegier problematisk."
For å overvåke for kompromisser, anbefaler John Bambenek, hovedtrusseljeger hos Netenrich, å distribuere atferdsanalyser for å oppdage misbruk av legitimasjon, samt et innsidetrusselprogram for å oppdage problemansatte som kan misbruke sin allerede legitime tilgang.
"VMWare (og relaterte) systemer administrerer de mest privilegerte systemene, og å kompromittere dem er en kraftmultiplikator for trusselaktører," sier han.
Plasteret kommer på hælene av avsløringen av en kritisk feil tidligere denne måneden som ville tillate omgåelse av autentisering for lokale VMware-implementeringer, for å gi angripere innledende lokal tilgang og muligheten til å utnytte LPE-sårbarheter som denne.
