VMware Tools'daki önemli dereceli bir güvenlik açığı, yerel ayrıcalık yükseltmenin (LPE) önünü açabilir ve önemli kurumsal verileri, kullanıcı bilgilerini, kimlik bilgilerini ve uygulamaları barındıran sanal makinelerin tamamen ele geçirilmesine yol açabilir.
VMware Tools, konuk işletim sistemleriyle (Konuk İşletim Sistemi) kullanıcı etkileşimlerini yönetmek için kullanılan VMware ürünlerindeki çeşitli özellikleri etkinleştiren bir dizi hizmet ve modüldür. konuk işletim sistemi sanal makineye güç veren motordur.
VMware'in bu hafta yayınlanan güvenlik tavsiyesine göre, "Konuk işletim sistemine yönetici olmayan yerel erişimi olan kötü niyetli bir aktör, sanal makinede kök kullanıcı olarak ayrıcalıkları yükseltebilir." CVE-2022-31676CVSS güvenlik açığı ciddiyet ölçeğinde 7.0 üzerinden 10 puana sahiptir.
Vulcan Cyber'ın kıdemli teknik mühendisi Mike Parkin'e göre sömürü yolları birçok şekilde olabilir.
"Sürümde, VMware sanal konsol arayüzü üzerinden erişim gerektirip gerektirmediği veya Windows'ta RDP veya Linux için kabuk erişimi gibi Konuk İşletim Sistemine bir tür uzaktan erişime sahip bir kullanıcının bu güvenlik açığından yararlanıp yararlanamayacağı belli değil." Dark Reading'i anlatıyor. "Konuk İşletim Sistemine erişim sınırlı olmalı ancak sanal makinede yerel kullanıcı olarak oturum açmayı gerektiren birçok kullanım durumu var."
Sanallaştırma virtüözü, güvenlik uyarısında mevcut olan yamalı sürüm ayrıntılarıyla sorunu düzeltti. Kusur için herhangi bir geçici çözüm bulunmadığından, yöneticilerin uzlaşmayı önlemek için güncellemeyi uygulaması gerekir.
Parkin, kritik olmasa da sorunun mümkün olan en kısa sürede yamalanması gerektiği konusunda uyarıyor: "Buluta geçişte bile, VMware birçok kurumsal ortamda sanallaştırmanın temel öğesi olmaya devam ediyor ve bu da her türlü ayrıcalık yükseltme güvenlik açığını sorunlu hale getiriyor."
Netenrich'in baş tehdit avcısı John Bambanek, uzlaşmayı izlemek amacıyla kimlik bilgilerinin kötüye kullanımını tespit etmek için davranışsal analitiğin uygulanmasını ve ayrıca zaten yasal olan erişimlerini kötüye kullanabilecek sorunlu çalışanları tespit etmek için bir içeriden tehdit programının kullanılmasını öneriyor.
"VMWare (ve ilgili) sistemler en ayrıcalıklı sistemleri yönetiyor ve bunların tehlikeye atılması, tehdit aktörleri için bir güç çarpanıdır" diyor.
Yama, bir güncellemenin açıklanmasının hemen ardından geliyor kritik hata Bu ayın başlarında, saldırganlara ilk yerel erişim ve bunun gibi LPE güvenlik açıklarından yararlanma yeteneği sağlamak için şirket içi VMware uygulamaları için kimlik doğrulamanın atlanmasına olanak tanınacaktı.
