Proof-of-Concept für VMware Workstation Guest-to-Host Escape veröffentlicht

Ein Proof-of-Concept (PoC) für eine kritische VMware-Workstation-Sicherheitslücke wurde öffentlich gemacht. Die Schwachstellen (CVE-2023-20870, CVE-2023-34044 und CVE-2023-20869) ermöglichen einen Guest-to-Host Escape und damit den Durchbruch der Isolationsschicht zwischen virtueller Maschine und Hostsystem.

Alle Informationen dienen ausschließlich zu Bildungszwecken. Autor Alexander Zaviyalov (Principal Security Consultant) und die NCC Group übernehmen keine Verantwortung für einen Missbrauch.

Beschreibung der Schwachstelle

Die NCC Group hat detailliert aufgezeigt, wie ein Angreifer über einen Logikfehler in der Handhabung virtueller Geräte vom Userland innerhalb einer kompromittierten VM in den Host-Prozess gelangen kann.

Die Schwachstelle erlaubt eine Speicherbeschädigung, die kontrollierte Codeausführung auf dem Host nach sich zieht. Der Bericht illustriert einen realistischen Exploit-Pfad und bestätigt das Risiko eines Host-Compromise.

Für den Angriff sind keine besonderen Gastprivilegien notwendig. Es reicht, manipulierte Eingaben über die VMware-Backdoor-/RPC-Schnittstelle zu senden.

Betroffene Systeme und Auswirkungen

Ein erfolgreicher Escape erlaubt die Ausführung beliebigen Codes im Kontext des Host-Hypervisor-Prozesses. Damit ist Zugriff auf das Host-Dateisystem sowie auf benachbarte VMs möglich. Besonders in Entwicklungsumgebungen mit mehreren virtuellen Maschinen oder in sensiblen Laborumgebungen können Angreifer Daten entwenden und sich lateral bewegen.

Proof-of-Concept

Die NCC Group beschreibt in ihrem PoC einen Ablauf, der für defensive Schulungs- und Testzwecke gedacht ist:

Aufbau einer VMware-Backdoor-/RPC-Sitzung aus dem Gast-Userland.
Versenden mehrerer RPC-Pakete mit identischer Session-ID sowie manipulierten Größen- und Offsetwerten.
Auslösen eines Out-of-Bounds-Schreibvorgangs in der Host-Puffer-Handling-Routine.
Überschreiben benachbarten Speichers, um den Kontrollfluss auf Angreiferdaten umzuleiten.
Einschleusen einer minimalen Payload, die im Workstation-Prozesskontext ausgeführt wird.

Zentrale Schwachstelle ist die fehlerhafte Wiederverwendung von Sitzungs-IDs in Verbindung mit falschen Berechnungen von Paketgrößen. Diese führen zu einem Schreibvorgang außerhalb der vorgesehenen Puffergrenzen und ermöglichen so eine kontrollierte Codeausführung.

Abwehrmaßnahmen

Installation aktueller VMware-Sicherheitsupdates, die die fehlerhafte Verarbeitung virtueller Geräte beheben.
Einschränkung nicht vertrauenswürdiger Workloads auf lokalen Workstations und Trennung risikoreicher Test-VMs von sensiblen Daten.
Überwachung von VMware-Prozessen auf ungewöhnliche Aktivitäten wie unerwartete Kindprozesse oder Dateizugriffe.
Einsatz von EDR-Lösungen und Anwendungskontrollen, um den Hypervisor-Prozess im Falle eines Angriffs zu begrenzen.

Weitere Tipps & Themen