VMware verhelpt drie zero-day bugs die werden misbruikt tijdens Pwn2Own 2024

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
34.796
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall

VMware verhelpt drie zero-day bugs die werden misbruikt tijdens Pwn2Own 2024​

Door Sergiu Gatlan
Publicatie van BleepingComputer


VMware_red.jpg



VMware heeft vier beveiligingslekken verholpen in de Workstation en Fusion desktop hypervisors, waaronder drie zero-days die werden misbruikt tijdens de Pwn2Own Vancouver 2024 hackwedstrijd.

Het ernstigste lek dat vandaag is verholpen is CVE-2024-22267, een use-after-free lek in het vbluetooth-apparaat dat werd gedemonstreerd door de STAR Labs SG- en Theori-teams.

“Een kwaadwillende met lokale beheerdersrechten op een virtuele machine kan dit probleem misbruiken om code uit te voeren als het VMX-proces van de virtuele machine dat op de host draait”, legt het bedrijf uit in een beveiligingsbericht dat dinsdag is gepubliceerd.

VMware biedt ook een tijdelijke workaround voor beheerders die de beveiligingsupdates van vandaag niet onmiddellijk kunnen installeren. Deze workaround vereist dat ze de Bluetooth-ondersteuning van de virtuele machine uitschakelen door de optie 'Share Bluetooth devices with the virtual machine' uit te vinken.

Twee andere zeer ernstige beveiligingsbugs, getraceerd als CVE-2024-22269 en CVE-2024-22270, gerapporteerd door Theori en STAR Labs SG, zijn kwetsbaarheden waardoor aanvallers met lokale beheerrechten bevoorrechte informatie uit het hypervisorgeheugen van een virtuele machine kunnen lezen.

De vierde VMware Workstation en Fusion kwetsbaarheid die vandaag is verholpen (getraceerd als CVE-2024-22268) wordt veroorzaakt door een zwakke plek in de heap buffer overflow in de Shader-functionaliteit. Een beveiligingsonderzoeker meldde het ook via Trend Micro's Zero Day Initiative.

“Een kwaadwillende met niet-administratieve toegang tot een virtuele machine waarop 3D-graphics is ingeschakeld, kan deze kwetsbaarheid mogelijk misbruiken om een denial of service-conditie te creëren”, aldus VMware.

Om dit beveiligingslek met succes te kunnen misbruiken, moet 3D-graphics echter zijn ingeschakeld op de virtuele machine in kwestie.

Pwn2Own Vancouver 2024 resultaten​

Beveiligingsonderzoekers verzamelden $1.132.500 na het demonstreren van 29 zero-days (en een aantal bug collisions) tijdens de hackwedstrijd in Vancouver dit jaar, waarbij Manfred Paul als winnaar uit de bus kwam en $202.500 in contanten verdiende na het neerhalen van de webbrowsers Apple Safari, Google Chrome en Microsoft Edge.

Tijdens de wedstrijd verdiende het SG-team van STAR Labs 30.000 dollar na het koppelen van twee VMware Workstation beveiligingslekken om op afstand code uit te voeren.

Theori beveiligingsonderzoekers Gwangun Jung en Junoh Lee gingen ook naar huis met 130.000 dollar in contanten voor het ontsnappen uit een VMware Workstation VM om code te laten uitvoeren als SYSTEM op het host Windows OS met behulp van een exploit chain gericht op drie kwetsbaarheden: een uninitialized variable bug, een UAF zwakte en een heap-gebaseerde buffer overflow.

Google en Mozilla repareerden ook verschillende zero-days die werden misbruikt tijdens Pwn2Own Vancouver 2024 binnen enkele dagen na afloop van de wedstrijd, waarbij Mozilla een dag later patches uitbracht en Google na slechts vijf dagen.

Leveranciers nemen echter meestal de tijd om beveiligingslekken te repareren die tijdens Pwn2Own zijn gedemonstreerd, omdat ze 90 dagen de tijd hebben om patches uit te brengen voordat Trend Micro's Zero Day Initiative de details van de bug openbaar maakt.
 
Terug
Bovenaan Onderaan