Исследователи в области кибербезопасности обнаружили серьезные уязвимости в службе гостевой аутентификации VGAuth, входящей в состав VMware Tools. Проблемы позволяют злоумышленникам эскалировать привилегии с учетных записей обычных пользователей до уровня полного доступа SYSTEM на виртуальных машинах под управлением Windows. Уязвимости получили идентификаторы CVE-2025-22230 и CVE-2025-22247 и касаются версий VMware Tools 12.5.0 и более ранних, включая среды, управляемые ESXi, а также автономные развертывания VMware Workstation.
Обход аутентификации
Основная проблема связана с недостатками механизма аутентификации через именованные каналы (named pipes). Служба VGAuth создает предсказуемые имена каналов в формате "\\.\pipe\vgauth-service-<username>", не используя флаг "FILE_FLAG_FIRST_PIPE_INSTANCE". Это позволяет злоумышленникам заранее создать такие каналы с разрешительными настройками доступа и перехватывать сессии аутентификации. Например, создав канал "vgauth-service-system" до запуска легитимной службы, атакующий может имитировать учетную запись "NT AUTHORITY\SYSTEM", минуя все ограничения безопасности.
Вторая уязвимость (CVE-2025-22247) связана с недостаточной проверкой входных данных при работе с хранилищем алиасов (alias store). Злоумышленники могут внедрять последовательности для обхода директорий, такие как "../../../../../../evil", в параметры имени пользователя, что позволяет выйти за пределы предназначенного хранилища и воздействовать на произвольные системные файлы. В сочетании с манипуляцией символическими ссылками (symlink) в Windows это открывает серьезные возможности для атак. Эксперты продемонстрировали два сценария эксплуатации: удаление произвольных файлов через операцию "RemoveAlias" и запись вредоносных данных через перезапись хранилища алиасов.
Оба метода используют атаки типа TOCTOU (Time-of-Check Time-of-Use), основанные на Opportunistic Locks, чтобы точно синхронизировать переключение целей символических ссылок. Возможность удаления произвольных файлов позволяет воздействовать на критические системные директории, такие как "C:\Config.Msi", что может привести к эскалации привилегий через известные техники Windows Installer. В то же время, привилегированная запись файлов дает возможность размещения вредоносных DLL в защищенных местах с наследуемыми разрешениями, что ведет к атакам подмены DLL и выполнению произвольного кода от имени SYSTEM.
Компания Broadcom, владеющая VMware, уже выпустила обновления, устраняющие уязвимости. Проблема CVE-2025-22230 была решена за счет рандомизации имен каналов и правильного использования флага "FILE_FLAG_FIRST_PIPE_INSTANCE". Для CVE-2025-22247 были внедрены более комплексные исправления, включая валидацию путей, проверку директорий во время выполнения и новую опцию конфигурации "allowSymlinks" (по умолчанию отключена).
Поскольку уязвимости затрагивают стандартные установки VMware Tools в Windows, под угрозой оказываются практически все виртуальные машины в средах VMware. Учитывая широкое распространение VGAuth и серьезность обнаруженных проблем, администраторам рекомендуется как можно скорее обновить VMware Tools до версии 12.5.2 или новее. В противном случае злоумышленники могут воспользоваться известными векторами атак для получения полного контроля над системами.
Эксперты подчеркивают, что подобные уязвимости особенно опасны в корпоративных средах, где виртуальные машины часто используются для разграничения доступа и хранения конфиденциальных данных. Успешная эксплуатация этих недостатков может привести к компрометации не только отдельных виртуальных машин, но и всей инфраструктуры предприятия.
Ссылки
- https://swarm.ptsecurity.com/the-guest-who-could-exploiting-lpe-in-vmware-tools/
- https://www.cve.org/CVERecord?id=CVE-2025-22230
- https://www.cve.org/CVERecord?id=CVE-2025-22247
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25683
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518
