- 21,256
- 46
- 8 Ноя 2022
Не дайте локальному юзеру получить SYSTEM: обновите до 12.5.2.
Исследователь Сергей Близнюк из Positive Technologies опубликовал разбор уязвимостей в компоненте VGAuth в составе VMware Tools, которые позволяют локальному пользователю с низкими привилегиями получить полный доступ уровня SYSTEM в гостевой Windows-машине.
VGAuth отвечает за аутентификацию действий хоста от имени пользователей гостевой ОС и используется в VMware Workstation, Fusion и ESXi. Он работает через именованные пайпы, создаёт сессии для каждого пользователя, и предоставляет операции с алиасами сертификатов, тикетами и SAML-токенами. На Windows VGAuth запускается по умолчанию с правами SYSTEM, что делает его особенно привлекательной целью для атак.
В реализации VGAuth обнаружены две критические уязвимости:
Первая — CVE-2025-22230 — связана с отсутствием флага <code>FILE_FLAG_FIRST_PIPE_INSTANCE</code> при создании приватного пайпа. Это позволяет атакующему перехватить пайп до его создания службой и получить контроль над соединением. Исправление доступно в VMware Tools 12.5.1 .
Вторая — CVE-2025-22247 — связана с отсутствием фильтрации параметров и проверок путей при работе с alias-файлами. Через path traversal и симлинки возможно выполнение операций вне назначенной директории, включая удаление или запись в произвольные файлы от имени SYSTEM. Уязвимость устранена в VMware Tools 12.5.2 , соответствующие изменения опубликованы в репозитории open-vm-tools .
Описаны два вектора эксплуатации:
Пользователям настоятельно рекомендуется обновить VMware Tools до версии 12.5.2 или выше. Несмотря на то, что VGAuth не выполняет критические действия напрямую, его роль в аутентификации делает его уязвимости мощными примитивами в цепочках локального повышения привилегий.
Исследователь Сергей Близнюк из Positive Technologies опубликовал разбор уязвимостей в компоненте VGAuth в составе VMware Tools, которые позволяют локальному пользователю с низкими привилегиями получить полный доступ уровня SYSTEM в гостевой Windows-машине.
VGAuth отвечает за аутентификацию действий хоста от имени пользователей гостевой ОС и используется в VMware Workstation, Fusion и ESXi. Он работает через именованные пайпы, создаёт сессии для каждого пользователя, и предоставляет операции с алиасами сертификатов, тикетами и SAML-токенами. На Windows VGAuth запускается по умолчанию с правами SYSTEM, что делает его особенно привлекательной целью для атак.
В реализации VGAuth обнаружены две критические уязвимости:
Первая — CVE-2025-22230 — связана с отсутствием флага <code>FILE_FLAG_FIRST_PIPE_INSTANCE</code> при создании приватного пайпа. Это позволяет атакующему перехватить пайп до его создания службой и получить контроль над соединением. Исправление доступно в VMware Tools 12.5.1 .
Вторая — CVE-2025-22247 — связана с отсутствием фильтрации параметров и проверок путей при работе с alias-файлами. Через path traversal и симлинки возможно выполнение операций вне назначенной директории, включая удаление или запись в произвольные файлы от имени SYSTEM. Уязвимость устранена в VMware Tools 12.5.2 , соответствующие изменения опубликованы в репозитории open-vm-tools .
Описаны два вектора эксплуатации:
- <strong>Удаление произвольного файла</strong>. Через <code>RemoveAlias</code> можно удалить файл вне aliasStore, если он имеет нужные атрибуты и принадлежит группе Administrators. Классическая TOCTOU-атака позволяет удалить, например, <code>C:\Config.Msi</code>, что далее открывает путь к привилегированному исполнению, как описано в анализе ZDI .
- <strong>Запись в произвольный файл</strong>. При частичном удалении сертификатов VGAuth создаёт временный файл, делает резервную копию и затем заменяет оригинальный. Все три пути (временный файл, бэкап и целевой alias-файл) можно подменить через заранее подготовленные симлинки. Это позволяет записать DLL или любой другой payload в защищённую директорию, например <code>C:\Windows\System32</code>, с наследуемыми правами SYSTEM.
Пользователям настоятельно рекомендуется обновить VMware Tools до версии 12.5.2 или выше. Несмотря на то, что VGAuth не выполняет критические действия напрямую, его роль в аутентификации делает его уязвимости мощными примитивами в цепочках локального повышения привилегий.
- Источник новости
- www.securitylab.ru
