Một lỗ hổng bảo mật được đánh giá quan trọng trong VMware Tools có thể mở đường cho việc leo thang đặc quyền cục bộ (LPE) và tiếp quản hoàn toàn các máy ảo chứa dữ liệu quan trọng của công ty, thông tin người dùng và thông tin đăng nhập cũng như các ứng dụng.
VMware Tools là một tập hợp các dịch vụ và mô-đun cho phép một số tính năng trong các sản phẩm VMware được sử dụng để quản lý các tương tác của người dùng với hệ điều hành khách (Guest OS). Hệ điều hành khách là công cụ cung cấp năng lượng cho một máy ảo.
“Một tác nhân độc hại có quyền truy cập cục bộ không phải quản trị vào Hệ điều hành khách có thể nâng cao đặc quyền với tư cách là người dùng gốc trong máy ảo”, theo lời khuyên bảo mật của VMware, được ban hành trong tuần này, trong đó lưu ý rằng lỗi, được theo dõi là CVE-2022-31676, có xếp hạng 7.0 trên 10 trên thang điểm mức độ nghiêm trọng của lỗ hổng CVSS.
Theo Mike Parkin, kỹ sư kỹ thuật cấp cao tại Vulcan Cyber, các con đường khai thác có thể có nhiều hình thức.
“Không rõ từ bản phát hành liệu nó có yêu cầu quyền truy cập thông qua giao diện bảng điều khiển ảo VMware hay không hay liệu người dùng có một số hình thức truy cập từ xa vào Hệ điều hành khách, chẳng hạn như RDP trên Windows hoặc truy cập shell cho Linux, có thể khai thác lỗ hổng hay không”, ông nói với Dark Reading. “Quyền truy cập vào Hệ điều hành khách nên bị hạn chế, nhưng có nhiều trường hợp sử dụng yêu cầu đăng nhập vào máy ảo với tư cách người dùng cục bộ.”
Kỹ thuật ảo hóa cũng đã khắc phục sự cố, với thông tin chi tiết về phiên bản đã vá có sẵn trong cảnh báo bảo mật. Không có giải pháp thay thế cho lỗ hổng, vì vậy quản trị viên nên áp dụng bản cập nhật để tránh bị ảnh hưởng.
Parkin cảnh báo: “Ngay cả khi di chuyển qua đám mây, VMware vẫn là một yếu tố ảo hóa chủ yếu trong nhiều môi trường doanh nghiệp, điều này khiến cho bất kỳ lỗ hổng leo thang đặc quyền nào cũng có vấn đề.”
Để theo dõi sự thỏa hiệp, John Bambenek, thợ săn mối đe dọa chính tại Netenrich, khuyến nghị triển khai phân tích hành vi để phát hiện lạm dụng thông tin xác thực, cũng như chương trình đe dọa nội bộ để phát hiện những nhân viên có vấn đề có thể lạm dụng quyền truy cập hợp pháp của họ.
Ông nói: “Các hệ thống VMWare (và các hệ thống liên quan) quản lý các hệ thống đặc quyền nhất và việc xâm phạm chúng là một hệ số nhân lực đối với các tác nhân đe dọa.
Bản vá xuất hiện sau khi tiết lộ một lỗi nghiêm trọng đầu tháng này sẽ cho phép bỏ qua xác thực đối với việc triển khai VMware tại chỗ, để cung cấp cho những kẻ tấn công quyền truy cập cục bộ ban đầu và khả năng khai thác các lỗ hổng LPE như lỗ hổng này.
