VMware Tools: Schwachstelle ermöglicht Angreifern unbefugte Aktionen in Gästen
VMware warnt vor einer Sicherheitslücke in VMware Tools. Sie ermöglicht eine Man-in-the-Middle-Attacke auf Gastsysteme.
(Bild: heise online / dmk)
In den VMware-Tools klafft eine Sicherheitslücke, die Angreifern in einer Man-in-the-Middle-Position zwischen vCenter Server und virtueller Maschine unbefugte Zugriffe und Aktionen ermöglicht. Updates stehen bereit, die die Schwachstelle ausbessern sollen.
Die VMware Tools sollen eine bessere Verwaltung und nahtlose Benutzerinteraktion mit Gastbetriebssystemen ermöglichen. Sie verbessern etwa die Performance signifikant und dürften von den meisten Nutzerinnen und Nutzern daher standardmäßig installiert werden.
VMware Tools: Umgehung der Prüfung von Sicherheits-Token
Die Lücke besteht in einer möglichen Umgehung der Überprüfung von sogenannten SAML-Token. Die übertragen etwa Authentifizierungsinformationen. Bösartige Akteure können an einer Man-in-the-Middle-Position zwischen dem vCenter Server und der virtuellen Maschine die Prüfung des SAML-Tokens umgehen und dadurch Operationen im Gast mit den VMware Tools vornehmen. Die sind potenziell vollumfänglich, da die VMware-Tools Treiber etwa für Grafikausgabe, Tastatur, Maus, Laufwerks- und Netzwerkzugriffe bereitstellen. Die Entwickler stufen die Lücke daher als ernste Bedrohung ein (CVE-2023-20900, CVSS 7.5, Risiko "hoch").
Temporäre Gegenmaßnahmen nennt VMware nicht. In der Sicherheitsmeldung listen sie jedoch die fehlerbereinigten Versionen der VMware Tools auf. Die Version 12.3.0 korrigiert den Fehler unter Linux und Windows für die betroffenen Zweige 10.3.x, 11.x.x sowie 12.x.x. Unter Linux gibt es zudem für ältere Releases die Fassung 10.3.26. Die Version mit Fehlerkorrektur hänge von der Version der Linux-Distribution und dem "Distributor" ab.
Auf der aktuellen Download-Seite für Windows sowie auf der Seite für Linux finden sich die Software-Pakete mit den Korrekturen. Für Linux steht dort lediglich die 10.3.26er-Version bereit, neuere Pakete kommen von der Distribution in der Regel als Paket open-vm-tools.
Erst am Mittwoch dieser Woche hatte VMware eine kritische Sicherheitslücke in VMware Aria Operations for Networks schließen müssen. Sie ermöglicht Angreifern den Zugriff ohne vorherige Anmeldung.
(dmk)
