Schwachstelle in VMware (Beispiel)

Zwei Schwachstellen in der Virtualisierungssoftware VMware können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. VMware stellt Patches zur Behebung der Schwachstellen bereit und es wird empfohlen, diese unverzüglich zu installieren.

Betroffene Systeme

  • CVE-2008-2098:
    • Workstation 6.0.3 für Windows und frühere Versionen
    • Workstation 6.0.3 für Linux und frühere Versionen
    • Player 2.0.3 für Windows und frühere Versionen
    • Player 2.0.3 für Linux und frühere Versionen
    • ACE 2.0.3 für Windows und frühere Versionen
    • Fusion 1.1.1 für Mac OS/X und frühere Versionen
  • CVE-2008-2099:
    • Workstation 6.0.3 für Windows und frühere Versionen
    • Player 2.0.3 für Windows und frühere Versionen
    • ACE 2.0.3 für Windows und frühere Versionen

Nicht betroffene Systeme

  • CVE-2008-2098:
    • Workstation 5.x für Windows
    • Workstation 5.x für Linux
    • Player 1.x für Windows
    • Player 1.x für Linux
    • ACE 1.x für Windows
    • Server 1.x für Windows
    • Server 1.x für Linux
  • CVE-2008-2099:
    • Workstation 5.x für Windows
    • Workstation 5.x für Linux
    • Workstation 6.x für Linux
    • Player 1.x für Windows
    • Player 1.x für Linux
    • Player 2.x für Linux
    • ACE 1.x für Windows
    • Server 1.x für Windows
    • Server 1.x für Linux
    • Fusion 1.x für Mac OS/X

Einfallstor

  • CVE-2008-2098:
    VMware Host Guest File System (HGFS)
  • CVE-2008-2099:
    Virtual Machine Communication Interface (VMCI)

Angriffsvoraussetzung

  • CVE-2008-2098:
    Zugriff auf ein mittels des HGFS dem virtuellen System zur Verfügung gestelltes Verzeichnis des beherbergenden Betriebssystems
    (network group)
  • CVE-2008-2099:
    Aktiviertes Virtual Machine Communication Interface (VMCI)

Angriffsvektorklasse

  • CVE-2008-2098:
    Zugriff auf ein beherbergtes, virtuelles System
    (local)
  • CVE-2008-2099:
    Zugriff auf ein beherbergtes, virtuelles System
    (local)

Auswirkung

  • CVE-2008-2098:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des vmx-Prozesses. Dies sind üblicherweise administrative Privilegien
    (system compromise)
  • CVE-2008-2099:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des vmx-Prozesses. Dies sind üblicherweise administrative Privilegien
    (system compromise)

Typ der Verwundbarkeit

  • CVE-2008-2098:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2008-2099:
    unbekannt

Gefahrenpotential

  • CVE-2008-2098:
    hoch bis sehr hoch
  • CVE-2008-2099:
    hoch bis sehr hoch

Beschreibung

  • CVE-2008-2098:
    Eine Pufferüberlaufschwachstelle in der Implementierung des VMware Host Guest File System (HGFS) mittels dessen Verzeichnisse des beherbergenden Betriebssystem den beherbergten Betriebssystemen zur Verfügung gestellt werden können, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des vmx-Prozesses ausgeführt. Dies sind i.A. administrative Privilegien, so dass in diesem Fall die erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems führt.
    HGFS ist in der Voreinstellung nicht aktiviert.
  • CVE-2008-2099:
    Eine Schwachstelle in der Implementierung des noch experimentellen Virtual Machine Communication Interface (VMCI) mittels dessen beherbergergte Betriebssysteme untereinander kommunizieren können, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des vmx-Prozesses ausgeführt. Dies sind i.A. administrative Privilegien, so dass in diesem Fall die erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems führt.
    VMCI ist in der Voreinstellung nicht aktiviert.

Workaround

  • CVE-2008-2098:
    • Abschalten der VMware shared folders
    Diese Maßnahme führt dazu, dass sowohl vom beherbergenden (Host-) als auch vom beherbergten (Guest-)System nicht mehr auf gemeinsame Dateien und Verzeichnisse zugegriffen werden kann.
  • CVE-2008-2099:
    • Abschalten des Virtual Machine Communication Interface
    Diese Maßnahme führt dazu, dass beherbergte (Guest-)Systeme nicht mehr direkt miteinander über das beherbergende (Host-)System kommunizieren können.