VMware Tools: Schwachstelle ermöglicht unbefugte Zugriffe in Gastsysteme
In der Welt der virtuellen Maschinen klafft eine bedrohliche Sicherheitslücke in den VMware Tools, die von VMware selbst als "unverzichtbare Helfer" für die bessere Verwaltung und nahtlose Interaktion mit Gastbetriebssystemen angepriesen werden. Diese Tools, die die Performance erheblich verbessern und von den meisten Nutzern standardmäßig installiert sind, bergen jedoch eine Schwachstelle, die es Angreifern ermöglicht, unbefugte Zugriffe und Aktionen in virtuellen Gästen auszuführen.
Die Schwachstelle betrifft die Prüfung von sogenannten SAML-Token, die Authentifizierungsinformationen übertragen. Durch eine ausgeklügelte Man-in-the-Middle-Attacke in einer Position zwischen dem vCenter Server und der virtuellen Maschine können bösartige Akteure die Überprüfung des SAML-Tokens umgehen. Dadurch erlangen sie die Kontrolle über Operationen im Gastsystem, die normalerweise von den VMware Tools gesteuert werden. Dies ist besonders heikel, da die VMware-Tools eine breite Palette von Treibern bereitstellen, darunter Grafikausgabe, Tastatur, Maus, Laufwerks- und Netzwerkzugriffe. Daher stuft das Entwicklerteam diese Schwachstelle als ernsthafte Bedrohung ein (CVE-2023-20900, CVSS 7.5, Risiko "hoch").
Für diese akute Sicherheitslücke nennt VMware zwar keine temporären Gegenmaßnahmen, jedoch haben sie Updates zur Verfügung gestellt, um die Schwachstelle zu beheben. Die Version 12.3.0 der VMware Tools korrigiert den Fehler unter sowohl Linux als auch Windows für die betroffenen Zweige 10.3.x, 11.x.x und 12.x.x. Für ältere Linux-Versionen steht zusätzlich die Version 10.3.26 zur Verfügung. Die spezifische Version hängt von der genutzten Linux-Distribution und dem jeweiligen "Distributor" ab.
Die korrigierten Software-Pakete können auf der offiziellen Download-Seite von VMware für Windows und Linux gefunden werden. Allerdings steht für Linux lediglich die Version 10.3.26 zur Verfügung. Neuere Pakete werden normalerweise von der Distribution als open-vm-tools-Paket bereitgestellt.
Diese jüngste Schwachstelle in den VMware Tools reiht sich ein in eine Serie von Bedrohungen. Erst in dieser Woche musste VMware eine kritische Sicherheitslücke in VMware Aria Operations for Networks schließen, die es Angreifern ermöglichte, ohne vorherige Anmeldung auf Systeme zuzugreifen. Die Notwendigkeit von kontinuierlicher Wachsamkeit und schnellem Handeln in der Cybersicherheitswelt ist damit erneut bestätigt worden.