VMware: Sicherheitshinweis zu Schwachstellen, Windows 11 TPM-Problem

Sicherheit (Pexels, allgemeine Nutzung)[English]Kurzer Hinweis für VMware-Benutzer und Administratoren. Der Anbieter hat zum 2. August 2022 einen Sicherheitshinweis für diverse Produkte (VMware Workspace ONE Access etc.) veröffentlicht, weil es dort zahlreiche Schwachstellen gibt. Zudem bin ich noch auf ein Problem mit VMware Workstation in Verbindung mit Windows 11 gestoßen, wo TPM ein Klonen der VMs verhindert.


Anzeige

VMware Sicherheitshinweis VMSA-2022-0021

Zum 2. August 2022 hat VMware den Sicherheitshinweis VMSA-2022-0021 zu Schwachstellen im diversen Produkten veröffentlicht. Der Entdecker diverser Schwachstellen weist in folgendem Tweet auf diesen Sachverhalt hin.

VMware vulnerabilities

In den nachfolgend aufgeführten VMware-Produkten gibt es eine ganze Reihe Schwachstellen, die mit CVSSv3-Werten zwischen 4.7 bis 9.8 (kritisch) bewertet werden. Hier die Liste der Schwachstellen, die dem Hersteller von ihren Entdeckern mitgeteilt wurden:

  • CVE-2022-31656
  • CVE-2022-31657
  • CVE-2022-31658
  • CVE-2022-31659
  • CVE-2022-31660
  • CVE-2022-31661
  • CVE-2022-31662
  • CVE-2022-31663
  • CVE-2022-31664
  • CVE-2022-31665

CVE-2022-31656 ist beispielsweise eine Authentication Bypass-Schwachstelle in VMware Workspace ONE Access, Identity Manager und vRealize Automation. Ein böswilliger Akteur mit Netzwerkzugriff auf die Benutzeroberfläche kann möglicherweise administrativen Zugriff erhalten, ohne dass eine Authentifizierung erforderlich ist. Da dies lokale Domänenanwender betrifft, hat VMware den Schweregrad dieses Bugs als kritisch mit einem maximalen CVSSv3-Basiswert von 9,8 eingestuft. Als betroffen von den oben aufgeführten CVEs listet VMware die nachfolgenden Produkte auf und stellt Sicherheitsupdates bereit.

  • VMware Workspace ONE Access,
  • Access Connector, Identity Manager,
  • Identity Manager Connector
  • vRealize Automation

Eine Liste der Sicherheitsupdates für die jeweiligen Produkte lässt sich über das VMware Advisory VMSA-2022-0021 einsehen.

Windows 11-TPM-Problem

Benutzer von VMware Workstation laufen beim Klonen einer verschlüsselten virtuellen Maschine mit Windows 11 als Gastbetriebssystem in einen Fehler, dass dies nicht möglich ist. Es wird der Fehler:

You cannot make a linked clone of an encrypted virtual machine

gemeldet und der Vorgang bricht ab. Will Dormann weist in nachfolgendem Tweet auf diesen Sachverhalt hin, der ihm beim Arbeiten mit einer Windows 11 VM unter VMware Workstation getroffen hat.


Anzeige

Seine Erklärung: In VMware Workstation muss eine virtuelle Maschine (VM) verschlüsselt sein, damit TPM im Gastbetriebssystem genutzt werden kann. Windows 11 erfordert TPM , wenn keine Umgehungslösungen verwendet werden. Dann ist es aber nicht mehr möglich, eine solche VM als Clone zu erstellen.

Von VMware gibt es aber das Dokument Installing Windows 11 as a guest OS on VMware Workstation Pro/Player and Fusion (86207), welches erklärt, wie man beim Setup das Problem löst. Ist aber keine Lösung, wenn eine VM geklont werden soll. Ob das behoben wird, weiß ich nicht – einfach im Hinterkopf behalten.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virtualisierung, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu VMware: Sicherheitshinweis zu Schwachstellen, Windows 11 TPM-Problem

  1. McAlex777 sagt:

    Ergänzung:
    Ein klassischer FullClone von Win11-Gästen funktioniert, und lässt sich starten.
    Genauso die klassische Explorer-Kopie des Verzeichnisses.

    Lediglich der "Linked" Clone nicht.

  2. OwenBurnett sagt:

    Erstens ist es eins schwachfug sondergleichen das Windows ein TPM voraussetzt, so was gehört verboten.

    Zweitens, ist es über alle maßen hirnrissig zu verlangen das eine VM verschlüsselt sein muss im ihr ein emuliertes TPM zu spendieren.

    • McAlex777 sagt:

      Im Grunde brauchts Klagen die das bis zu obersten europäischen Instanzen durchkämpfen. Gleiches ebenfalls für Online-Konten pflichten, nachträgliches Reduzieren von Support-Zeiträumen etc. Ich wäre jederzeit dabei so etwas finanziell zu unterstützen.

      Sobald sich die Online-Durchsuchung nach unerwünschten Inhalten direkt auf den Apple/Android-Devices durchgesetzt hat, wird das mit Sicherheit auch früher oder später auf Windows und auf Applikationsebene etc. folgen.

      Letztlich kann man jeden den so etwas stört nur raten sich mit GNU/Linux unabhängig zu machen, und benötigte Windows-Applikationen Offline zu virtualisieren. Entsprechende gebrauchte WindowsXP/7 ***Lizenzen*** inkl. Applikations-Lizenzen sind zum Glück derzeit alle noch gut gebraucht beziehbar. Sind die Applikationen nicht mehr offiziell aktivierbar, so sind bei korrekter Lizensierung m.E. auch Offline-Aktivierungen nach deutschem Recht zulässig. Ich bin jedoch kein Jurist.

      • Günter Born sagt:

        Das Windows XP/7 Zeugs läuft gerade (wenn ich es nicht gänzlich falsch interpretiere) in ein Problem, was man auf dem Radar haben sollte. Wegen TLS 1.x-Ende kippen demnächst/irgendwann Online-Dienste diese Unterstützung. Der Support für aktualisierte Software läuft jetzt aus – und bei meiner Steuersoftware erhalte ich ständig die Meldung, dass Windows 7 aus dem Support sei und irgendwann keine Elster-Kommunikation mehr funktionieren können würde.

        Der Hinweis auf Linux ist aber wichtig – aktuell schiebe ich es vor mir her, zu eruieren, wie ich meine Blog-Umgebung auf so was rüber ziehen könnte – sieht schlecht aus, mit Windows Live Writer hat noch keiner mit Wine Erfolg gehabt. Die ganzen "Ersatzlösungen", die in Blogs rauf und runter genudelt werden, kann man getrost knicken. Ich habe mir einiges angeschaut – BlogDesk wäre ein Windows-Ersatz, der bei meinen Blogs aber sofort an bestimmten Stellen die Grätsche macht … die Probleme liegen wie immer im Detail (nur mal wieder ein winziger Infosplitter aus den Niederungen der Praxis).

        • McAlex777 sagt:

          Für mich beziehe ich eine Windows XP/7 Virtualisierung rein als "Offline-Lösung" für Offline-Applikationen für welche es keine Linux-Alternativen gibt.

          Mir ist selbst schmerzlich klar, das GNU/Linux auf dem Desktop ***deutliche*** Einschränkungen mit sich bringen:

          Schon triviale Dinge wie GPU-Decodierung von Videos in Firefox/Chrome funktionieren auf nVidia-Grafikkarten nicht – und führen folglich zu deutlich hohen CPU-Auslastungen. Netflix/Amazon etc. werden somit zu Problemen. iTunes Videos gar nicht mehr möglich.

          Das Renern von Javascript-Lastigen Webseiten in Firefox/Chrome ist spürbar CPU-Lastiger/Langsamer als unter Windows/Edge.

          Wine selbst ist bestenfalls für "Spezialsoftware" ohne große Interaktion auf dem Desktop brauchbar – für Software im täglichen Todo und Interaktion mit dem Desktop (z.B. 7zip gui, irfanview, notepad++) ist Wine schlicht unschön.

          Gaming ist krampfig unter GNU/Linux:
          Diverse Games leiden unter Bugs wenn sie unter Linux nativ laufen, oder via wine emuliert werden. Mame32-Emulation haben wenige MS-Zeiterzögerungen bei der Soundausgabe unter GNU/Linux, so das Tastendruck/Soundausgabe nicht Synchron sind. Bei mir funktionieren mit USB-Tastaturen keine 4 Tastenanschläge gleichzeitig:
          WD + SHIFT + Space …

          und so kann man mit diversen weiteren kleineren/größeren Nachteilen von GNU/Linux auf dem Desktop fortfahren …

          Wegen all der nachteile bin ich derzeit auf Desktops auch noch rein auf Windows unterwegs.

          Aber … wenn Microsoft immer weiter seine Daumenschrauben anzieht, werde ich für meinen Teil irgendwann die Freiheit eines Linux-Systems vorziehen … und mich mit o.g. Problemen arangieren, und neue Ansätze finden.

        • Ralf S. sagt:

          "… und bei meiner Steuersoftware erhalte ich ständig die Meldung, dass Windows 7 aus dem Support sei und irgendwann keine Elster-Kommunikation mehr funktionieren können würde. "

          Dann haben sie ja noch Glück, denn bei meiner Steuersoftware (>> Taxman) geht schon seit 2020 keine Elster-Kommunikation mehr auf Win 7 … Programm lässt sich installieren und tut dann auch was es soll, aber es ist dann halt wieder auf Papier ausdrucken und per Post verschicken angesagt. Nun habe ich Win 11 und dort wird es wohl wieder funktionieren – habe noch keine Steuer für 2021 gemacht, da ja noch Zeit bis Ende Oktober. Allerdings weiß ich echt nicht, ob ich mir nur wegen Elster wieder Java installieren soll/werde … Brauchte man doch meines Wissens zwingend für die Elster-Kommunikation, oder liege ich da falsch? Oder wurde dies zwischenzeitlich evtl. auch geändert und man benötigt es nicht mehr?

          • Günter Born sagt:

            Ich habe hier zwar eine JAVA-Ersatzlösung installiert, bin mir aber unsicher, ob Elster das braucht. Im Portal habe ich für die Grundsteuererklärung nichts dergleichen bemerkt.

            Zudem ist meine Steuersoftware für Selbständige wohl irgendwie per Schnittstelle an Elster angebunden – auf die Schnelle habe ich jedenfalls nichts gefunden, was in der Portable-Version auf ein JRE hindeutet.

          • Ralf S. sagt:

            @Günter Born:

            Danke für Ihre Antwort!
            Ich hatte nach dem Schreiben meines Posts, mal gleich kurz selbst nachrecherchiert und gesehen, dass man wohl für Elster-Online (also direkt beim Finanzamt, was ich aber noch niemals genutzt habe) schon seit einigen Jahren kein Java mehr benötigt. Was allerdings die (meine) Steuersoftware direkt betrifft, konnte ich nichts dazu auf die Schnelle in Erfahrung bringen. Bei Win 7 war Java halt seit 2012 immer schon auf meinem PC installiert und der Versand der Steuerunterlagen klappte auch bis 2020 (eben dem EOL-Datum von Win 7) ohne Probleme. Nun auf Win 11, gibt es kein Java mehr bei mir und das Programm (Lexware/Taxman) wird mir dann schon mitteilen, ob es mit der Elster ;-) dann auch ohne Java kann – ich bin gespannt …

    • Günter Born sagt:

      Können wir uns darauf einigen, dass ich über die gegebenen Klippen blogge? Ich bin mit dem Urteil "TPM und VM ist Mist und die Abhängigkeiten sind Schwachfug" ja bei dir. Aber Fakt ist (es sei denn, es kommt jemand um die Ecke und schreibt "stimmt nicht"): Es scheint zu klemmen – und genau das als "Merkbit bei potentiellen Nutzern" zu setzen, ist Ziel des Blog-Beitrags. Bestenfalls verhindert das, dass jemand in genau diese Falle läuft. Möglicherweise korrigiert VMware das ja – und man kann es ja mit diversen Klone-Optionen vermeiden. Zumindest zeigt der Beitrag aber auf, in welche Abhängigkeiten wir langsam hinein laufen …

      • OwenBurnett sagt:

        Ich kritisiere doch nicht die Berichterstattung, nur den aktuellen stand der Dinge.
        VMWare hat es komplett verbockt mit der TPM Implementation, denen sollten einfach möglichst viele User schreiben das sie ein TPM komplett ohne Verschlüsselung wünschen.

        Ich hoffe ja heimlich immer noch auf Virtual Box 7.0 das ja angeblich auch TPM Emulation (nicht nur passthrough) können soll, aber wann das kommt steht in den Sternen.

        Gibts keinen patch aus der community für VM ware um es zu enablen ein TPM in eine unverschlüsselte VM zu murksen?
        MacOS auf iwndows host frei zu schalten haben die schlauen leute ja auch geschafft.

        • Günter Born sagt:

          Hatte ich auch nicht als Kritik an der Berichterstattung verstanden. Problem aus meiner Sicht: Wir können uns hier im Blog drüber austauschen – es erreicht/interessiert VMware nicht (mit der Tapete an der Wand sprechen-Syndrom hat – mag entkrampfend sein, bringt aber nix ;-).

  3. T Sommer sagt:

    Ich packe mir die VMs mit Winrar – das ist ganz praktisch wenn man mal schnell Klonen oder testen und verwerfen will ohne mit Snapshot zu arbeiten. Wird die vm mit TPM aufgesetzt kann man das packen des Ordners vergessen. Die Dateien lassen sich nicht mehr komprimieren.
    Auch störend ist, da die Konfiguration ebenfalls verschlüsselt wird, muss man zwangsläufig immer beim starten ein Kennwort eingeben. Damit VMware workstation diese VM öffnen kann.

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.