A VMware corrigiu quatro vulnerabilidades de segurança nos hipervisores desktop Workstation e Fusion, incluindo três zero-day exploradas durante o concurso de hackers Pwn2Own Vancouver 2024.
A falha mais grave corrigida é a CVE-2024-22267, uma falha de use-after-free no dispositivo vbluetooth, demonstrada pelas equipes STAR Labs SG e Theori.
"Um atacante com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar código como o processo VMX da máquina virtual em execução no host", explicou a empresa em um comunicado na terça-feira.
A VMware também oferece uma solução temporária para administradores que não podem instalar imediatamente as atualizações de segurança. Esta solução envolve desativar o suporte Bluetooth da máquina virtual, desmarcando a opção ‘Compartilhar dispositivos Bluetooth com a máquina virtual’.
Duas outras vulnerabilidades de alta gravidade, identificadas como CVE-2024-22269 e CVE-2024-22270, foram relatadas por Theori e STAR Labs SG. Essas falhas permitem que atacantes com privilégios de administrador local leiam informações sensíveis da memória do hipervisor de uma máquina virtual.
A quarta vulnerabilidade corrigida (CVE-2024-22268) é causada por uma falha de estouro de buffer de heap na funcionalidade Shader. Um pesquisador também relatou isso através da Iniciativa Zero Day da Trend Micro.
"Um atacante com acesso não administrativo a uma máquina virtual com gráficos 3D habilitados pode explorar essa vulnerabilidade para criar uma condição de negação de serviço", afirmou a VMware. No entanto, a exploração bem-sucedida dessa falha requer que os gráficos 3D estejam ativados na máquina virtual alvo.
Pesquisadores de segurança arrecadaram cerca de US$ 1.132.500 após demonstrar 29 vulnerabilidades zero-day (e alguns bugs de colisão) na competição de hackers em Vancouver deste ano. Manfred Paul foi o vencedor, ganhando US$ 202.500 após comprometer os navegadores Apple Safari, Google Chrome e Microsoft Edge.
Durante o concurso, a equipe STAR Labs SG ganhou US$ 30.000 ao encadear duas falhas de segurança do VMware Workstation para obter execução remota de código.
Os pesquisadores de segurança da Theori, Gwangun Jung e Junoh Lee, também levaram para casa US$ 130.000 por escapar de uma VM VMware Workstation e obter execução de código como SYSTEM no sistema operacional Windows host, utilizando uma cadeia de exploração que envolveu três vulnerabilidades: um bug de variável não inicializada, uma fraqueza de use-after-free e um estouro de buffer baseado em heap.
O Google e a Mozilla também corrigiram vários zero-day explorados no Pwn2Own Vancouver 2024 poucos dias após o término do concurso, com a Mozilla lançando patches um dia depois e o Google em apenas cinco dias.
No entanto, os fornecedores geralmente demoram para corrigir as falhas de segurança demonstradas no Pwn2Own, pois têm 90 dias para enviar patches antes que a Iniciativa Zero Day da Trend Micro divulgue publicamente os detalhes das vulnerabilidades.
Via - BleepingComputer
Comments