VMware Workstation’da bir saldırganın konuk bir sanal makineden kaçmasına ve ana bilgisayar işletim sisteminde keyfi kod yürütmesine izin veren kritik bir güvenlik açığı zinciri için bir kavram kanıtı (POC) istismar yayınlandı.
İstismar, sanallaştırma yazılımındaki en şiddetli güvenlik kusurlarından biri olan tam bir konuktan kaçış kaçışını elde etmek için bir bilgi sızıntısını ve yığın tabanlı bir tampon taşma güvenlik açığını başarıyla zincirler.
İstismar, 2023’te PWN2OWN Vancouver etkinliğinde ilk kez gösterilen güvenlik açıklarını hedefler. NCC Group’un güvenlik araştırmacısı Alexander Zaviyalov yakın zamanda ayrıntılı bir teknik analiz ve fonksiyonel bir POC yayınladı ve bu kusurların ortaya koyduğu pratik riski gösterdi.
İki aşamalı saldırı
Konuktan konuktan kaçış, VMware Workstation’ın sanal Bluetooth cihaz işlevinde bulunan iki ayrı güvenlik açıkına zincirlenerek gerçekleştirilir. Varsayılan olarak etkinleştirilen bu özellik, bir konuk VM’nin ana bilgisayarın Bluetooth adaptörünü kullanmasına izin verir.
Bilgi sızıntısı (CVE-2023-20870, CVE-2023-34044): Saldırının ilk aşaması, kullanımsız (UAF) bir bellek sızıntısından yararlanır. Sanal fare ve Bluetooth cihazlarına özel olarak hazırlanmış USB istek bloğu (URB) kontrol transferleri göndererek, bir saldırgan bellek işaretlerini sızdırabilir. vmware-vmx.exe ana bilgisayarda işlem.
Bu bilgi sızıntısı, sömürü daha zor hale getirmek için bellek konumlarını rastgele olan standart bir güvenlik özelliği olan adres alan düzen randomizasyonunu (ASLR) atlamak için çok önemlidir.
Tampon Taşma (CVE-2023-20869): ASLR baypasıyla saldırgan ikinci aşamaya geçer. Bu, konuk VM’den ana bilgisayar tarafından keşfedilebilen başka bir Bluetooth cihazına kötü amaçlı hizmet keşif protokolü (SDP) paketini göndererek yığın tabanlı bir arabellek taşmasını tetiklemeyi içerir.
Taşma, saldırganın programın yürütme akışını ele geçirmesine izin verir ve daha önce sızdırılmış bellek adresleri ile ana bilgisayar sisteminde özel bir yük gerçekleştirebilir.
Bu güvenlik açıklarının kombinasyonu, konuk VM üzerinde kontrolü olan bir saldırganın ana makinenin tam kontrolünü kazanmasını sağlar. Gösteride, istismar, bir Linux misafirinden tamamen yamalı bir Windows 11 ana bilgisayarına bir ters kabuk başlattı ve altta yatan sistemi etkili bir şekilde tehlikeye attı.
Tam istismar zinciri öncelikle VMware Workstation 17.0.1 ve önceki sürümleri etkiler. Belirli güvenlik açıklarının farklı yama zaman çizelgeleri vardır:
- Yığın tabanlı arabellek taşması (CVE-2023-20869) 17.0.2.vmware-workstation-guest-host-escape.pdf sürümünde ele alınmıştır.
- Bellek sızıntısı güvenlik açıkları (CVE-2023-20870 ve CVE-2023-34044) sırasıyla 17.0.2 ve 17.5.0 sürümlerinde yamalandı.
Tam istismar hem arabellek taşması hem de bellek sızıntısı gerektirdiğinden, 17.0.1 veya daha büyük sürümleri çalıştıran kullanıcılar en yüksek risk altındadır.
Hafifletme
Tüm kullanıcılar için birincil öneri, VMware iş istasyonu yazılımlarını tartışılan tüm güvenlik açıkları için yamalar içeren en son mevcut sürüme (17.5.0 veya daha yeni) güncellemektir.
Hemen güncellenemeyen kullanıcılar için potansiyel bir çözüm, sanal Bluetooth cihazını devre dışı bırakmaktır. Bu, sanal makinenin USB denetleyici ayarlarındaki “Bluetooth cihazlarını sanal makine ile paylaş” seçeneğini kaldırarak yapılabilir.
Bu özelliğin devre dışı bırakılması, bu özel POC tarafından kullanılan saldırı yüzeyini kaldırır. Ayrıntılı araştırma, modern istismarların karmaşıklığını vurgulamaktadır ve sanallaştırma platformları için zamanında yamanın önemini vurgulamaktadır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
