Privilege-Escalation-Bug in VMWare

[English]Ist auf Windows-Systemen eine Virtualisierungssoftware von VMware mit den VMware Tools installiert? Dann existiert vermutlich eine Privilege Escalation-Schwachstelle, über die Angreifer ihre Rechte erhöhen können. Ergänzung: Inzwischen wurden die Tweets gelöscht und der Blog-Beitrag auf privat geschaltet  – ich hatte aber lange genug Zeit, die Schwachstelle grob zu skizzieren.


Anzeige

Aufgedeckt hat dies Sandboxescaper, die bereits in der Vergangenheit für die Offenlegung diverser 0-Day-Schwachstellen verantwortlich war. Allerdings hatte ich erwartet, dass dieser Kanal verstummt, denn Microsoft hat Sandboxescaper angeheuert (siehe meinen Tweet vom 2. Dezember 2019).

Aktuell scheint Sandboxescaper in einer Übergangsphase zu sein, wo noch keine Geheimhaltungsabkommen unterschrieben wurden. Und so hat sie gerade folgenden Tweet abgesetzt:

Dem Blog-Beitrag nach ist sie unter Windows auf ein neues Problem gestoßen. Dort gibt es den versteckten Ordner Installer, und in diesem Ordner ist eine .msi-Installer-Datei aufgefallen, die mit erhöhten Rechten starten kann, ohne eine Nachfrage der Benutzerkontensteuerung auszulösen. Bedeutet, dass sich Installer-Dateien in diesem Ordner ohne Nachfrage der Benutzerkontensteuerungen zur Erhöhung der Privilegien ausführen lassen.

Sandboxescaper hat nun eine 0-Day-Schwachstelle in VMware aufgetan. Gebraucht wird eine virtuelle Windows 10-Maschine, in der die VMware-Tools installiert sind. Über einen Befehl:

c:\Windows\installer /fa 368c0.msi


Anzeige

(wobei der Name der .msi-Datei variiert) lässt sich eine Reparatur der VMware-Tools-Installation anstoßen. Dabei werden eine Reihe Dateien im Ordner ProgramData manipuliert. Nun schreibt Sandboxescapter, dass dieser Ordner in einigen Fällen durch normale Benutzer beschreibbar sei. So kann ein Standardnutzer im VMware Script-Ordner wohl Dateien anlegen, aber keine vorhandenen Dateien ändern.

Im Blog-Beitrag beschreibt sie einen trickreichen Angriff mit einem Proof of Concept, bei dem über eine Junction im Ordner ProgramData Schreiboperationen in einen eigene Ordner umgeleitet werden können. Damit gibt es ein Wurmloch, über das sich eventuell Manipulationen und eine Ausweitung von Rechten vornehmen lassen. Ich habe es mir nicht in allen Feinheiten angesehen, wer sich für das Thema interessiert, findet Details im Blog-Beitrag und Diskussionen zu diesem Tweet.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit Sicherheit, VMware verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.