Sicherheitslücke in den VMware Tools ermöglicht eine Ausweitung der Rechte
Die VMware Tools enthalten eine Sicherheitslücke, mit deren Hilfe sich Nutzer in VMware-VMs Root-Rechte erschleichen könnten. Die Sicherheitssoftware „Carbon Black“ hingegen brachte durch einen Fehler in ihrem Antivirus Regelsatz am 23. August massenhaft Windows Server zum Absturz und bescherte ihnen beim Reboot einen BSOD. Beide Probleme sind mittlerweile behoben.
VMware meldet in einem Security Advisory eine Sicherheitslücke in den VMware Tools. Angreifer, die bereits einen unprivilegierten Nutzer auf der virtuellen Maschine haben (etwa über Diebstahl von Credentials oder eine weitere Sicherheitslücke), konnten sich System Privilegien erschleichen.
Der Security Bug mit CVE-ID CVE-2022-31676 wurde von VMware mit einem CVSS-Wert von 7.0/10 bewertet. Er betrifft gemäß dem von VMware herausgegebenen Advisory sowohl Windows (VMware Tools 11 und 12) als auch Linux (VMware Tools 10, 11 und 12). Zur Fehlerbehebung sollten Administratoren auf die Versionen 10.3.25 oder 12.1.0 aktualisieren – wer Version 11 einsetzt, sollte auf Version 12 umsteigen.
Die VMware Tools erleichtern die Verwaltung von VMs und sind häufig auf virtuellen Maschinen vorinstalliert. Die Sicherheitslücke dürfte daher fast jede mit dem populären Hypervisor erstellten VMs betreffen.
Carbon Black EDR
Einige Nutzer der EDR Software Carbon Black erlebten am 23. August eine böse Überraschung, als ihre Windows Server plötzlich abstürzten und beim Reboot einen Blue Screen of Death mit dem Stopcode „PFN_LIST_CORRUPT“ anzeigten. Carbon Black ist eine Software für „Endpoint Detection & Response“ zur Erkennung von Malware und Angriffen, deren gleichnamiger Hersteller 2019 von VMware übernommen wurde.
Wie VMware nun in einem Knowledge-Base Artikel zugibt, wurden Absturz und BSOD von einem fehlerhaften Regelsatz zum Virenschutz verursacht. Die Versionen 3.6 und 3.7 der Sensorsoftware waren von den Abstürzen betroffen. Das Problem wurde durch ein Update der AV Regeln behoben. Betroffene Systeme sollten laut VMware ohne Weiteres wieder booten. Für verzwicktere Fälle hält die Knowledge Base Workarounds zur Wiederbelebung und eine Möglichkeit zur Prüfung der eigenen Regelsätze bereit.