- 19,438
- 40
- 8 Ноя 2022
Не дайте локальному юзеру получить SYSTEM: обновите до 12.5.2.
Исследователь Сергей Близнюк из Positive Technologies Для просмотра ссылки Войдиили Зарегистрируйся разбор уязвимостей в компоненте Для просмотра ссылки Войди или Зарегистрируйся в составе VMware Tools, которые позволяют локальному пользователю с низкими привилегиями получить полный доступ уровня SYSTEM в гостевой Windows-машине.
VGAuth отвечает за аутентификацию действий хоста от имени пользователей гостевой ОС и используется в VMware Workstation, Fusion и ESXi. Он работает через именованные пайпы, создаёт сессии для каждого пользователя, и предоставляет операции с алиасами сертификатов, тикетами и SAML-токенами. На Windows VGAuth запускается по умолчанию с правами SYSTEM, что делает его особенно привлекательной целью для атак.
В реализации VGAuth обнаружены две критические уязвимости:
Первая — Для просмотра ссылки Войдиили Зарегистрируйся — связана с отсутствием флага <code>FILE_FLAG_FIRST_PIPE_INSTANCE</code> при создании приватного пайпа. Это позволяет атакующему перехватить пайп до его создания службой и получить контроль над соединением. Исправление доступно в Для просмотра ссылки Войди или Зарегистрируйся .
Вторая — Для просмотра ссылки Войдиили Зарегистрируйся — связана с отсутствием фильтрации параметров и проверок путей при работе с alias-файлами. Через path traversal и симлинки возможно выполнение операций вне назначенной директории, включая удаление или запись в произвольные файлы от имени SYSTEM. Уязвимость устранена в Для просмотра ссылки Войди или Зарегистрируйся , соответствующие изменения опубликованы в Для просмотра ссылки Войди или Зарегистрируйся .
Описаны два вектора эксплуатации:
или Зарегистрируйся 5 марта, Для просмотра ссылки Войди или Зарегистрируйся — 12 мая. Разработчики устранили их путём рандомизации имён пайпов, фильтрации недопустимых символов в <code>username</code> и отказа от симлинков по умолчанию.
Пользователям настоятельно рекомендуется обновить VMware Tools до версии 12.5.2 или выше. Несмотря на то, что VGAuth не выполняет критические действия напрямую, его роль в аутентификации делает его уязвимости мощными примитивами в цепочках локального повышения привилегий.
Исследователь Сергей Близнюк из Positive Technologies Для просмотра ссылки Войди
VGAuth отвечает за аутентификацию действий хоста от имени пользователей гостевой ОС и используется в VMware Workstation, Fusion и ESXi. Он работает через именованные пайпы, создаёт сессии для каждого пользователя, и предоставляет операции с алиасами сертификатов, тикетами и SAML-токенами. На Windows VGAuth запускается по умолчанию с правами SYSTEM, что делает его особенно привлекательной целью для атак.
В реализации VGAuth обнаружены две критические уязвимости:
Первая — Для просмотра ссылки Войди
Вторая — Для просмотра ссылки Войди
Описаны два вектора эксплуатации:
- <strong>Удаление произвольного файла</strong>. Через <code>RemoveAlias</code> можно удалить файл вне aliasStore, если он имеет нужные атрибуты и принадлежит группе Administrators. Классическая TOCTOU-атака позволяет удалить, например, <code>C:\Config.Msi</code>, что далее открывает путь к привилегированному исполнению, как описано в Для просмотра ссылки Войди
или Зарегистрируйся . - <strong>Запись в произвольный файл</strong>. При частичном удалении сертификатов VGAuth создаёт временный файл, делает резервную копию и затем заменяет оригинальный. Все три пути (временный файл, бэкап и целевой alias-файл) можно подменить через заранее подготовленные симлинки. Это позволяет записать DLL или любой другой payload в защищённую директорию, например <code>C:\Windows\System32</code>, с наследуемыми правами SYSTEM.
Пользователям настоятельно рекомендуется обновить VMware Tools до версии 12.5.2 или выше. Несмотря на то, что VGAuth не выполняет критические действия напрямую, его роль в аутентификации делает его уязвимости мощными примитивами в цепочках локального повышения привилегий.
- Источник новости
- www.securitylab.ru
