Un hyperviseur est censé fournir une couche d’isolation inviolable entre les machines virtuelles et le matériel. Mais VMware, le poids lourd de l'hyperviseur Broadcom, a révélé hier que ses hyperviseurs ne sont pas aussi protégés qu'on pourrait le souhaiter.
dans Conseil en matière de sécurité L'unité commerciale de Broadcom a mis en garde contre quatre inconvénients.
Les deux pires – CVE-2024-22252 et 22253 – sont notés 9,3/10 sur les hyperviseurs de bureau VMware Workstation et Fusion et 8,4 sur l'hyperviseur ESXi Server.
Les failles ont reçu ces notes car elles signifient qu'un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle pourrait exploiter ce problème pour exécuter du code en dehors de l'invité. Dans Workstation et Fusion, ce code s'exécutera sur l'ordinateur hôte ou sur Mac. Sous ESXi, il s'exécutera dans un processus VMX qui inclut chaque VM invitée.
dans InstructionsVMware a classé les deux défauts comme changement d'urgence, tel que défini par la bibliothèque d'infrastructure informatique.
Une autre vulnérabilité, CVE-2024-2225, a une note de 7,1.
Les solutions de contournement des défauts s'appliquent également à vSphere 6.x, une version désormais non prise en charge de la plate-forme phare de virtualisation de serveur de VMware.
Les contrôleurs USB virtuels sont à l’origine du problème des trois menaces courantes mentionnées ci-dessus. VMware la solution alternative Parce que le bug est supprimé des machines virtuelles.
Cependant, la FAQ de VMware admet que cela « pourrait ne pas être réalisable à grande échelle » car « certains systèmes d'exploitation pris en charge nécessitent un port USB pour l'accès au clavier et à la souris via la console virtuelle ». La perte de la fonctionnalité de relais USB peut être une autre conséquence indésirable.
« Cependant, la plupart des versions de Windows et Linux prennent en charge l'utilisation d'une souris et d'un clavier virtuels PS/2 », ajoute la FAQ, et la suppression des périphériques non essentiels tels que les contrôleurs USB est recommandée dans le cadre des directives de renforcement de la sécurité publiées par VMware.
Pour aggraver les choses, VMware a également signalé CVE-2024-22254, une vulnérabilité d'écriture hors limites qui pourrait amener un acteur malveillant disposant de privilèges au sein du processus VMX à déclencher une écriture hors limites, entraînant une évasion du bac à sable. .
Les évasions hôte-invité constituent le pire cas de virtualisation. Celles-ci semblent importantes, mais elles sont loin d’atteindre une prise de contrôle complète d’hyperviseur qui permettrait à un attaquant de contrôler des flottes de machines virtuelles.
Il est intéressant de noter que certaines failles ont été découvertes par des chercheurs lors du concours Tianfu Cup Pwn 2023 – l’équivalent chinois du festival d’attaque d’infosec Pwn2Own.
VMware a remercié les participants au concours Jiang YuHao, Ying XingLei et Zhang ZiMing de Team Ant Lab – une filiale d'Alibaba – ainsi que VictorV & Wei de Team CyberAgent. Jiaqing Huang et Hao Zheng de l'équipe TianGong de Legendsec du groupe Qi'anxin sont également remerciés, car ils ont découvert indépendamment certaines failles. ®
« Amateur de musique. Joueur. Alcooliste. Lecteur professionnel. Spécialiste du Web. »