En viktig säkerhetssårbarhet i VMware Tools kan bana väg för lokal privilegieskalering (LPE) och fullständigt övertagande av virtuella maskiner som innehåller viktig företagsdata, användarinformation och referenser och applikationer.
VMware Tools är en uppsättning tjänster och moduler som möjliggör flera funktioner i VMware-produkter som används för att hantera användarinteraktioner med gästoperativsystem (Guest OS). Gäst OS är motorn som driver en virtuell maskin.
"En skadlig aktör med lokal icke-administrativ åtkomst till gästoperativsystemet kan eskalera privilegier som root-användare i den virtuella maskinen," enligt VMwares säkerhetsråd, som utfärdades denna vecka, som noterade att buggen, spåras som CVE-2022-31676, har betyget 7.0 av 10 på CVSS-sårbarhets-allvarlighetsskalan.
Exploateringsvägar kan ta många former, enligt Mike Parkin, senior teknisk ingenjör på Vulcan Cyber.
"Det är oklart från releasen om det kräver åtkomst via VMwares virtuella konsolgränssnitt eller om en användare med någon form av fjärråtkomst till gästoperativsystemet, såsom RDP på Windows eller skalåtkomst för Linux, skulle kunna utnyttja sårbarheten," han berättar Dark Reading. "Åtkomst till gästoperativsystem bör begränsas, men det finns många användningsfall som kräver att du loggar in på en virtuell maskin som en lokal användare."
Virtualiseringsvirtuosen har åtgärdat problemet, med information om korrigerad version tillgänglig i säkerhetsvarningen. Det finns inga lösningar för felet, så administratörer bör tillämpa uppdateringen för att undvika kompromisser.
Problemet, även om det inte är kritiskt, bör ändå åtgärdas så snart det är praktiskt möjligt, varnar Parkin: "Även med molnmigrering förblir VMware en stapelvara i virtualisering i många företagsmiljöer, vilket gör alla sårbarheter med eskalering av privilegier problematiska."
För att övervaka kompromisser rekommenderar John Bambenek, huvudhotsjägare på Netenrich, att man använder beteendeanalys för att upptäcka missbruk av legitimation, samt ett insiderhotprogram för att upptäcka problemanställda som kan missbruka sin redan legitima åtkomst.
"VMWare (och relaterade) system hanterar de mest privilegierade systemen, och att kompromissa med dem är en kraftmultiplikator för hotaktörer", säger han.
Plåstret kommer på hälarna av avslöjandet av en kritisk bugg tidigare denna månad som skulle möjliggöra förbikoppling av autentisering för lokala VMware-implementeringar, för att ge angripare initial lokal åtkomst och möjligheten att utnyttja LPE-sårbarheter som denna.
