VMware heeft de nieuwste release van zijn software voor desktopvirtualisatie uit moeten stellen. Niet één, maar meerdere ernstige securitygaten moesten eerst gerepareerd worden. Bugs in onder meer virtuele printers zorgen voor problemen.
De nieuwe versie van VMware’s desktopsoftware is gratis voor huidige gebruikers, als salvo in een dreigende prijsoorlog met concurrent Parallels. VMware-gebruikers zullemen echter enkele dagen geduld moeten hebben. De leverancier van virtualisatiesoftware heeft de release van Workstation 12.5 moeten uitstellen. ‘Vanwege een nare bug hebben we ervoor gekozen om onze release een paar dagen vast te houden, in plaats van later een patch uit te brengen. Dank voor het begrip’, luidde de officiële mededeling.
Gaten, bugs en meerdere CVE’s
De gratis update voor gebruikers van de voorgaande versie blijkt echter meer ernstige securitygaten te bevatten. De Windows-uitvoering van VMware Workstation 12.5 bleek een drietal ernstige gaten te bevatten die kunnen leiden tot het uitvoeren van kwaadaardige code. Één daarvan komt neer op twee bugs die zitten in de mogelijkheid om virtuele printers te gebruiken in vm’s (virtuele machines) die draaien op VMware Workstation.
De twee bugs zijn volgens het securityteam van VMware erg gelijksoortig. Beide zijn kritiek, beide geven aanvallers de mogelijkheid om code naar keuze uit te voeren, en voor beide biedt VMware ook een workaround. De ingebouwde functionaliteit voor virtuele printers was kwetsbaar voor een heap-based buffer overflow en voor geheugencorruptie. VMware heeft voor deze twee issues een viertal unieke CVE-nummers gereserveerd in de onafhankelijke kwetsbaarhedendatabase CVE.
Standaard uit, maar veelgebruikt
‘Virtueel printen moet ingeschakeld zijn om misbruik mogelijk te maken’, blogt het securityteam. Dit is anders dan de vorig jaar onthulde kwetsbaarheid in virtuele diskettedrives, in de virtualisatiesoftware Qemu. die door diverse leveranciers wordt benut. VMware was toen niet kwetsbaar. Het nu ontdekte en gepatchte printerprobleem is in de praktijk wel van toepassing. ‘Hoewel VMware Workstation voor Windows virtual printing standaard uitgeschakeld heeft, begrijpen we dat dit een populaire feature is, die veel van onze klanten gebruiken’, aldus de securitymelding nu.
Naast het printerprobleem, dat zit in de gebruikte Thinprint-software van Cortado, had VMware Workstation nog twee ernstige beveiligingsgaten. Deze blijken afkomstig van de installer voor de VMware-desktopsoftware. Die installer laadt bepaalde dll-bestanden niet goed in, waardoor een aanvaller een eigen dll kan laten laden die dan willekeurige code kan uitvoeren.
Dll-kaping en .exe-meeliften
Verder blijkt de installer in staat te zijn om een programmabestand (.exe) uit te voeren dat in dezelfde map staat als de installer. Een kwaadwillende moet dan dus al wel toegang hebben tot de computer waarop hij deze VMware-kwetsbaarheid wil benutten. Dit geldt voor zowel de dll-kapingsbug als ook de .exe-meeliftbug in de Workstation-installer. Inmiddels is de nieuwe release gefixt en uitgebracht.
De securityproblemen met VMware zijn overigens niet voorbehouden aan alleen Windows, weet The Register nog te melden. Ook de Mac-virtualisatiesoftware van deze leverancier heeft een kwetsbaarheid, dat VMware de weging ‘belangrijk’ meegeeft. Ook hiervoor zijn nu patches uit. Het betreft hierbij vm’s waarin OS X draait, maar technisch gezien gaat het niet om de eigenlijke virtualisatiesoftware; Esxi en Fusion.
Privelege-escalatie op Macs
De kwetsbaarheid waarmee een aanvaller hogere rechten kan verkrijgen zit namelijk in de VMware Tools voor OS X. In de securitymelding stelt VMware: Terwijl we Esxi en Fusion noemen als relevante producten is dat alleen omdat veel van onze klanten er de voorkeur aan geven om bijgewerkte VMware Tools uit te rollen via de hypervisor, in plaats van de stand-alone versie te downloaden.’