Важлива вразливість безпеки у VMware Tools може прокласти шлях до локальної ескалації привілеїв (LPE) і повного захоплення віртуальних машин, на яких зберігаються важливі корпоративні дані, інформація про користувачів, облікові дані та програми.
VMware Tools — це набір служб і модулів, які вмикають кілька функцій у продуктах VMware, які використовуються для керування взаємодією користувачів із гостьовими операційними системами (Гостьова ОС). Гостьова ОС це движок, який забезпечує роботу віртуальної машини.
«Зловмисник із локальним неадміністративним доступом до гостьової ОС може підвищити привілеї користувача root у віртуальній машині», — йдеться в пораді щодо безпеки VMware, опублікованій цього тижня, у якій зазначено, що помилка, яка відстежується як CVE-2022-31676, має оцінку 7.0 з 10 за шкалою вразливості та серйозності CVSS.
За словами Майка Паркіна, старшого технічного інженера Vulcan Cyber, шляхи експлуатації можуть мати різні форми.
«З випуску незрозуміло, чи потрібен доступ через інтерфейс віртуальної консолі VMware, чи користувач з певною формою віддаленого доступу до гостьової ОС, наприклад RDP у Windows або доступ до оболонки для Linux, може використати вразливість», — сказав він. розповідає Dark Reading. «Доступ до гостьової ОС має бути обмеженим, але існує багато випадків використання, які потребують входу у віртуальну машину як локальний користувач».
Віртуоз віртуозу виправив проблему, а деталі виправленої версії доступні в сповіщенні безпеки. Не існує обхідних шляхів усунення недоліку, тому адміністратори повинні застосувати оновлення, щоб уникнути компромісу.
Цю проблему, хоч і не критичну, слід якомога швидше виправити, попереджає Паркін: «Навіть із хмарною міграцією VMware залишається основним компонентом віртуалізації в багатьох корпоративних середовищах, що робить будь-яку вразливість підвищення привілеїв проблематичною».
Щоб стежити за компрометацією, Джон Бамбенек, головний мисливець за загрозами в Netenrich, рекомендує розгорнути поведінкову аналітику для виявлення зловживань обліковими даними, а також програму внутрішніх загроз для виявлення проблемних співробітників, які можуть зловживати своїм уже законним доступом.
«Системи VMWare (і пов’язані з ними) керують найбільш привілейованими системами, і їх компрометація є примножувачем сили для загроз», — каже він.
Патч з'явився після розкриття a критична помилка на початку цього місяця, що дозволить обійти автентифікацію для локальних реалізацій VMware, щоб надати зловмисникам початковий локальний доступ і можливість використовувати такі вразливості LPE, як ця.
