VMware Tools 中一个重要级别的安全漏洞可能为本地特权升级 (LPE) 和完全接管包含重要公司数据、用户信息和凭据以及应用程序的虚拟机铺平道路。
VMware Tools 是一组服务和模块,可启用 VMware 产品中用于管理用户与来宾操作系统(来宾操作系统)交互的多项功能。 来宾操作系统 是驱动虚拟机的引擎。
根据 VMware 本周发布的安全公告,“对来宾操作系统具有本地非管理访问权限的恶意行为者可以将权限提升为虚拟机中的 root 用户”,该公告指出,该漏洞被跟踪为 CVE-2022-31676,在 CVSS 漏洞严重性量表上的评分为 7.0(满分 10 分)。
Vulcan Cyber 的高级技术工程师 Mike Parkin 表示,利用路径可能有多种形式。
“目前尚不清楚该版本是否需要通过 VMware 虚拟控制台界面进行访问,或者具有某种形式远程访问来宾操作系统(例如 Windows 上的 RDP 或 Linux 的 shell 访问)的用户是否可以利用该漏洞,”他告诉黑暗阅读。 “对来宾操作系统的访问应该受到限制,但有许多用例需要以本地用户身份登录到虚拟机。”
虚拟化大师已经修复了这个问题,安全警报中提供了补丁版本的详细信息。 该漏洞没有解决方法,因此管理员应应用更新以避免妥协。
这个问题虽然不严重,但仍应尽快修补,Parkin 警告说:“即使有云迁移,VMware 仍然是许多企业环境中虚拟化的主要内容,这使得任何特权升级漏洞都成为问题。”
为了监控入侵,Netenrich 的主要威胁猎手 John Bambenek 建议部署行为分析来检测凭据滥用,以及部署内部威胁程序来检测可能滥用其已经合法访问的问题员工。
“VMWare(和相关)系统管理着最高特权的系统,而破坏它们是威胁参与者的力量倍增器,”他说。
该补丁是在披露之后发布的 关键的bug 本月早些时候,这将允许本地 VMware 实施绕过身份验证,为攻击者提供初始本地访问权限,并能够利用 LPE 漏洞,例如这个漏洞。
