{"id":226205,"date":"2019-12-17T14:40:42","date_gmt":"2019-12-17T13:40:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226205"},"modified":"2021-06-05T12:59:05","modified_gmt":"2021-06-05T10:59:05","slug":"privilege-escalation-bug-in-vmware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/17\/privilege-escalation-bug-in-vmware\/","title":{"rendered":"Privilege-Escalation-Bug in VMWare"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/12\/18\/privilege-escalation-bug-in-vmware\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Ist auf Windows-Systemen eine Virtualisierungssoftware von VMware mit den VMware Tools installiert? Dann existiert vermutlich eine Privilege Escalation-Schwachstelle, \u00fcber die Angreifer ihre Rechte erh\u00f6hen k\u00f6nnen. <strong>Erg\u00e4nzung:<\/strong> Inzwischen wurden die Tweets gel\u00f6scht und der Blog-Beitrag auf privat geschaltet\u00a0 &#8211; ich hatte aber lange genug Zeit, die Schwachstelle grob zu skizzieren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/99cb7584f59d4f748e2d189666eb3dd9\" alt=\"\" width=\"1\" height=\"1\" \/>Aufgedeckt hat dies Sandboxescaper, die bereits in der Vergangenheit f\u00fcr die Offenlegung diverser 0-Day-Schwachstellen verantwortlich war. Allerdings hatte ich erwartet, dass dieser Kanal verstummt, denn Microsoft hat Sandboxescaper angeheuert (siehe meinen Tweet vom 2. Dezember 2019).<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">So, keine 0-day exploits mehr von <a href=\"https:\/\/twitter.com\/hashtag\/SandboxEscaper?src=hash&amp;ref_src=twsrc%5Etfw\">#SandboxEscaper<\/a> &#8211; der hat bei Microsoft angeheuert. <a href=\"https:\/\/t.co\/QShyBugdd7\">https:\/\/t.co\/QShyBugdd7<\/a><\/p>\n<p>\u2014 G\u00fcnter Born (@etguenni) <a href=\"https:\/\/twitter.com\/etguenni\/status\/1201597602309058560?ref_src=twsrc%5Etfw\">December 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Aktuell scheint Sandboxescaper in einer \u00dcbergangsphase zu sein, wo noch keine Geheimhaltungsabkommen unterschrieben wurden. Und so hat sie gerade folgenden Tweet abgesetzt:<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/t.co\/46rbaSDmOt\">https:\/\/t.co\/46rbaSDmOt<\/a> Here is part one. Pretty sure the attack surface described has many more bugs (not just the vmware tools installer.. I doubt this bug is exploitable in the first place, just wanted something to demo that is unpatched, easier for folks to learn!)<\/p>\n<p>\u2014 SandboxEscaper (@SandboxBear) <a href=\"https:\/\/twitter.com\/SandboxBear\/status\/1206649213133697025?ref_src=twsrc%5Etfw\">December 16, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Dem <a href=\"https:\/\/web.archive.org\/web\/20200920150000\/http:\/\/sandboxescaper.blogspot.com\/2019\/12\/chasing-polar-bears-part-one.html\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag nach<\/a> ist sie unter Windows auf ein neues Problem gesto\u00dfen. Dort gibt es den versteckten Ordner <em>Installer<\/em>, und in diesem Ordner ist eine .msi-Installer-Datei aufgefallen, die mit erh\u00f6hten Rechten starten kann, ohne eine Nachfrage der Benutzerkontensteuerung auszul\u00f6sen. Bedeutet, dass sich Installer-Dateien in diesem Ordner ohne Nachfrage der Benutzerkontensteuerungen zur Erh\u00f6hung der Privilegien ausf\u00fchren lassen.<\/p>\n<p>Sandboxescaper hat nun eine 0-Day-Schwachstelle in VMware aufgetan. Gebraucht wird eine virtuelle Windows 10-Maschine, in der die VMware-Tools installiert sind. \u00dcber einen Befehl:<\/p>\n<p>c:\\Windows\\installer \/fa 368c0.msi<\/p>\n<p>(wobei der Name der .msi-Datei variiert) l\u00e4sst sich eine Reparatur der VMware-Tools-Installation ansto\u00dfen. Dabei werden eine Reihe Dateien im Ordner <em>ProgramData <\/em>manipuliert. Nun schreibt Sandboxescapter, dass dieser Ordner in einigen F\u00e4llen durch normale Benutzer beschreibbar sei. So kann ein Standardnutzer im VMware Script-Ordner wohl Dateien anlegen, aber keine vorhandenen Dateien \u00e4ndern.<\/p>\n<p>Im <a href=\"https:\/\/web.archive.org\/web\/20200920150000\/http:\/\/sandboxescaper.blogspot.com\/2019\/12\/chasing-polar-bears-part-one.html\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag<\/a> beschreibt sie einen trickreichen Angriff mit einem Proof of Concept, bei dem \u00fcber eine Junction im Ordner <em>ProgramData <\/em>Schreiboperationen in einen eigene Ordner umgeleitet werden k\u00f6nnen. Damit gibt es ein Wurmloch, \u00fcber das sich eventuell Manipulationen und eine Ausweitung von Rechten vornehmen lassen. Ich habe es mir nicht in allen Feinheiten angesehen, wer sich f\u00fcr das Thema interessiert, findet Details im <a href=\"https:\/\/web.archive.org\/web\/20200920150000\/http:\/\/sandboxescaper.blogspot.com\/2019\/12\/chasing-polar-bears-part-one.html\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag<\/a> und Diskussionen zu <a href=\"https:\/\/twitter.com\/SandboxBear\/status\/1206649213133697025\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Tweet<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ist auf Windows-Systemen eine Virtualisierungssoftware von VMware mit den VMware Tools installiert? Dann existiert vermutlich eine Privilege Escalation-Schwachstelle, \u00fcber die Angreifer ihre Rechte erh\u00f6hen k\u00f6nnen. Erg\u00e4nzung: Inzwischen wurden die Tweets gel\u00f6scht und der Blog-Beitrag auf privat geschaltet\u00a0 &#8211; ich hatte &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/12\/17\/privilege-escalation-bug-in-vmware\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,16],"class_list":["post-226205","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-vmware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226205","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226205"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226205\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226205"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226205"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226205"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}