Aanbieder van virtualisatiesoftware VMware heeft beveiligingsupdates uitgebracht voor ernstige lekken in de software waardoor een aanvaller in het ergste geval het hostsysteem kon overnemen. De kwetsbaarheden werden eerder deze maand tijdens de Pwn2Own-wedstrijd in Vancouver gedemonstreerd.
Het ging om twee aanvallen waarbij VMware het doelwit was. De software van VMware, die tijdens de wedstrijd op Windows 10 draaide, werd gebruikt voor het aanmaken van een virtual machine met ook Windows 10 als besturingssysteem. Bij de eerste aanval wisten onderzoekers van het Chinese beveiligingsbedrijf 360 Security verschillende kwetsbaarheden aan elkaar te rijgen. De aanval begon met een onbekend beveiligingslek in Microsoft Edge. Vervolgens werd een onbekende kwetsbaarheid in de Windowskernel gebruikt en als laatste een onbekend lek in VMWare Workstation. Hierdoor wisten de onderzoekers uit de virtual machine te ontsnappen.
De tweede aanval werd door het Chinese beveiligingsbedrijf Tencent Security uitgevoerd en had als doel om vanuit de virtual machine met het Windows 10-gastsysteem het onderliggende Windows 10-hostsysteem volledig over te nemen. Volgens VMware is dit de ergste soort kwetsbaarheid die voor virtualisatiesoftware bestaat. Daarbij maakte het gastsysteem gebruik van een niet-beheerdersaccount. De onderzoekers gebruikten een onbekende kwetsbaarheid in de Windowskernel en twee onbekende lekken in VMware Workstation om het gastsysteem en uiteindelijk ook het hostsysteem over te nemen.
VMware adviseert in een blogposting om de updates zo snel als mogelijk te installeren, maar dat het niet nodig is om omgevingen offline te halen. Volgens het virtualisatiebedrijf zijn er geen aanwijzingen dat de kwetsbaarheden actief worden aangevallen. De beveiligingslekken zijn aanwezig in alle VMware-platformen (ESXi, Fusion en Workstation). De aanvallen die de onderzoekers tijdens Pwn2Own lieten zien zijn echter alleen tegen VMware Workstation voor Windows gedemonstreerd.
Aanvullend stelt VMware dat het dreigingslandschap aan het veranderen is, waarbij ook virtual machines kunnen worden aangevallen om de onderliggende host over te nemen. Aan de andere kant verandert ook de beveiliging. Zo zegt VMware dat het begonnen is om sandboxtechnologie rond de virtual machines uit te rollen om te voorkomen dat één enkel lek waardoor willekeurige kan worden uitgevoerd toegang tot de host geeft. Verder worden oude legacy-features verwijderd of uitgeschakeld om het aanvalsoppervlak te verkleinen. Klanten krijgen afsluitend het advies om een meerlaagse beveiliging toe te passen. "Het doel is om over voldoende lagen te beschikken zodat niet alle lagen tegelijkertijd kunnen worden doorbroken."
Deze posting is gelocked. Reageren is niet meer mogelijk.