Güvenlik araştırmacıları, VMware Tools’un konuk kimlik doğrulama hizmetinde (VGAUTH), saldırganların herhangi bir kullanıcı hesabından Windows sanal makinelerinde tam sistem erişimine kadar ayrıcalıkları artırmasına izin veren kritik güvenlik açıklarını ortaya çıkardılar.
CVE-2025-22230 ve CVE-2025-22247 olarak izlenen kusurlar, ESXI ile yönetilen ortamlar ve bağımsız VMware Workstation dağıtımlarında VMware Tools 12.5.0 ve önceki sürümleri etkiler.
Kimlik Doğrulama Bypass
Birincil güvenlik açığı, VGAUTH’ın adlandırılmış boru kimlik doğrulama mekanizmasında temel bir kusurdan kaynaklanmaktadır.
Hizmet, \\. \ Pipe \ VGAuth-Service- formatında öngörülebilir boru adları oluşturur.
| CVE kimliği | CVSS Puanı | Tanım | Yama versiyonu | Yayın tarihi |
| CVE-2025-22230 | Yüksek | Adı verilen boru kaçırma yoluyla kimlik doğrulama bypass | VMware Tools 12.5.1 | 25 Mart 2025 |
| CVE-2025-22247 | Eleştirel | Güvensiz Symlink çözünürlüğü ile yol geçiş | VMware Tools 12.5.2 | 12 Mayıs 2025 |
Meşru hizmetten önce VGAuth-Service-System adlı bir boru kurarak, saldırganlar kimlik doğrulama oturumlarını ele geçirebilir ve NT Authority \ System hesabını taklit edebilir.
Bu, VGAuth protokolü içindeki anında süper kullanıcı ayrıcalıkları verir ve amaçlanan tüm güvenlik kısıtlamalarını atlar.
İkinci güvenlik açığı, takma ad depo operasyonlarındaki yetersiz giriş validasyonundan yararlanır.
Saldırganlar ../../../../../../EVIL gibi yol geçiş dizilerini kullanıcı adı parametrelerine enjekte edebilir ve amaçlanan takma ad depo dizininden çıkmalarına ve keyfi sistem dosyalarını hedeflemelerine izin verir.
Windows SymLink manipülasyon teknikleriyle birleştiğinde, bu güçlü saldırı ilkelleri yaratır.
Araştırmacılar iki sömürü yolu gösterdiler: Removealias işlemi yoluyla keyfi dosya silme ve rastgele dosya takma ad deposu yeniden yazma yoluyla yazma.
Her iki teknik de denetim süresi/kullanım süresi (Toctou) saldırılarını, tam olarak zaman sembolü hedef anahtarlamayı zamanlamak için fırsatçı kilitler kullanarak kullanır.
Keyfi dosya silme özelliği, C: \ config.msi gibi kritik sistem dizinlerini hedefleyebilir ve iyi bilinen Windows yükleyici ayrıcalık yükseltme tekniklerini etkinleştirir.
Bu arada, dosya yazma ilkel, saldırganların kalıtsal izinli ACL’lerle ayrıcalıklı konumlara kötü niyetli DLL’ler dikmesine olanak tanır ve sistem olarak kod yürütme için DLL kaçırma saldırılarını kolaylaştırır.
Broadcom, güvenlik güncellemeleri yoluyla her iki güvenlik açıkına da değinmiştir. CVE-2025-22230, boru adlarını randomize edilerek ve uygun birinci sınıf bayrakları uygulayarak hafifletildi.
CVE-2025-22247, yol doğrulaması, çalışma zamanı yolu doğrulaması ve yeni bir AlserMLinks yapılandırma seçeneği (varsayılan olarak devre dışı) dahil olmak üzere daha kapsamlı düzeltmeler aldı.
Kuruluşlar derhal VMware Tools 12.5.2 veya sonraki sürümlere güncellenmelidir.
Güvenlik açıkları, VMware araçlarının varsayılan Windows yüklemesini etkiler ve VMware ortamlarındaki neredeyse tüm Windows sanal makinelerini ayrıcalık artış arayan yerel kullanıcılar tarafından potansiyel olarak sömürülebilir hale getirir.
VGAUTH’ın yaygın dağıtım ve bu kusurların şiddeti göz önüne alındığında, yöneticiler bu iyi belgelenmiş saldırı vektörleri yoluyla potansiyel sistem uzlaşmalarını önlemek için yama çabalarına öncelik vermelidir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now