Команда безопасности NCC Group опубликовала технические детали и подтверждение концепции (Proof of Concept, PoC) для уязвимости типа "побег из гостевой системы" в VMware Workstation. Логическая ошибка в обработке виртуальных устройств позволяет злоумышленнику, получившему контроль над виртуальной машиной, выйти за ее пределы и выполнить произвольный код на хост-системе.
Детали уязвимости
Уязвимость, получившая идентификаторы CVE-2023-20870, CVE-2023-34044 и CVE-2023-20869, затрагивает механизм обратной связи (backdoor) и удаленного вызова процедур (RPC) VMware. Для эксплуатации достаточно выполнения кода внутри гостевой виртуальной машины без специальных привилегий, но с возможностью отправки специально сформированных входных данных через интерфейс обратной связи VMware.
Эксперты NCC Group продемонстрировали полный путь эксплуатации от пользовательского пространства гостевой системы до компрометации хост-системы, подтвердив реальные риски для корпоративных сред. Атака позволяет нарушить изоляцию виртуальной машины, выполнить произвольный код в контексте процесса гипервизора Workstation и получить доступ к файловой системе хоста и соседним виртуальным машинам.
В многовиртуальных средах разработчиков или специальных лабораторных окружениях такая уязвимость открывает возможности для кража данных и горизонтального перемещения по сети. Особую опасность представляет тот факт, что атака осуществляется изнутри виртуальной машины, что может обойти традиционные средства защиты периметра.
Технический анализ показывает, что уязвимость возникает при повторном использовании одного и того же идентификатора сессии (sessionID) с определенными параметрами размера и смещения. Это вызывает ошибку расчета границ буфера в хостовом парсере, приводя к записи за пределами выделенной памяти (out-of-bounds write) и последующему перехвату управления выполнением кода.
Процесс эксплуатации включает установление сессии через механизм обратной связи VMware из гостевой системы, отправку двух или более пакетов RPC с одинаковым идентификатором сессии, манипуляцию параметрами размера и смещения полезной нагрузки для вызова записи за пределами буфера, и последующее перенаправление потока выполнения на контролируемые злоумышленником данные.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | // guest-side pseudocode outline open_vmware_backdoor(); uint32_t sid = rpc_begin_session(); // Packet A: prime host buffer rpc_send(sid, .bin_size = A_SIZE, .payload_off = OFF_A, .payload_size = SZ_A, .data = bufA); // Packet B: overlapping write to force OOB and corrupt adjacent metadata/code ptr rpc_send(sid, .bin_size = B_SIZE, .payload_off = OFF_B, .payload_size = SZ_B, .data = crafted_overlap); // Optional: Packet C to finalize control-flow hijack rpc_send(sid, .bin_size = C_SIZE, .payload_off = OFF_C, .payload_size = SZ_C, .data = rop_or_shellcode); // Trigger vulnerable processing path rpc_commit(sid); |
Для защиты от данной угрозы специалисты по кибербезопасности рекомендуют немедленно установить обновления безопасности VMware, которые устраняют уязвимости в обработке виртуальных устройств и RPC. В многопользовательских средах следует ограничить выполнение непроверенных рабочих нагрузок в локальной версии Workstation и изолировать виртуальные машины для тестирования потенциально опасного кода от систем с конфиденциальными данными.
Дополнительные меры защиты включают мониторинг процессов VMware на предмет аномального создания дочерних процессов и доступа к файлам, инициируемых из процесса Workstation. Также рекомендуется применять системы обнаружения и реагирования на конечных точках (EDR) и механизмы контроля приложений для ограничения поведения процесса гипервизора после потенциальной компрометации.
Данное исследование подчеркивает важность своевременного обновления программного обеспечения виртуализации и реализации принципа минимальных привилегий в корпоративных средах, где виртуальные машины используются для разработки, тестирования или изоляции подозрительных активностей.
Ссылки
- vmware-workstation-guest-to-host-escape.pdf
- https://www.cve.org/CVERecord?id=CVE-2023-20870
- https://www.cve.org/CVERecord?id=CVE-2023-20869
- https://www.cve.org/CVERecord?id=CVE-2023-20870
