VMware dicht lek waardoor gast hostsysteem kan overnemen

[Captain Kirk]

VMware heeft meerdere kwetsbaarheden verholpen waardoor een gebruiker in een virtueel gastsysteem het hostsysteem kon overnemen. Twee van de beveiligingslekken waren aanwezig in de virtuale usb-controller en werden vorige week tijdens de Pwn2Own-wedstrijd in Vancouver gedemonstreerd.

Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Onderzoekers Amat Cama en Richard Zhu demonstreerden een aanval tegen VMware Workstation waarbij ze vanuit een gastsysteem code op het hostsysteem konden uitvoeren. De kwetsbaarheden waren niet alleen aanwezig in VMware Workstation Pro en Player, maar ook in VMware vSphere ESXi en VMware Fusion Pro en Fusion.

De beveiligingsupdate die VMware uitbracht verhelpt niet alleen de kwetsbaarheden van Cama en Zhu, maar ook van andere onderzoekers waardoor het mogelijk was om vanuit het gastsysteem code op het hostsysteem uit te voeren. Beheerders krijgen het advies om de beschikbare beveiligingsupdates te installeren.

Naast een aanval op de virtualisatiesoftware van VMware werd er tijdens Pwn2Own ook een soortgelijke aanval tegen Oracle VirtualBox gedemonstreerd. Ook hierbij wisten Cama en Zhu het onderliggende systeem over te nemen. Voor deze aanval is nog geen beveiligingsupdate verschenen. Oracle hanteert een patchcyclus waarbij updates elk kwartaal verschijnen. De volgende patchronde staat gepland voor 16 april 2019.

 

 

bron: security.nl