![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Kleiner Sammelbeitrag und Nachtrag rund um das Thema Virtualisierung. In Hyper-V wurde k\u00fcrzlich eine Schwachstelle gepatcht – jetzt gibt es einen Proof of Concept (PoC) f\u00fcr diese Schwachstelle. Und bei VMware gibt es ebenfalls Schwachstellen sowie Infos, wie sich aus der VM ausbrechen l\u00e4sst.\u00a0<\/p>\n
<\/p>\n
\u00a0 VMware by Broadcom hat dieses Security Bulletin<\/a> zur Schwachstelle ver\u00f6ffentlicht. Ein\u00a0 Angreifer mit Netzwerkzugriff auf vCenter Server kann diese Schwachstelle \u00fcber einen Heap-Overflow im DCE\/RPC-Protokoll angreifen, indem er ein speziell gestaltetes Netzwerkpaket sendet. Das kann m\u00f6glicherweise zur Remotecodeausf\u00fchrung f\u00fchren.\u00a0<\/p>\n Es gibt einen Patch zum Schlie\u00dfen dieser Schwachstelle.\u00a0The Hacker News hat das Thema hier<\/a> aufgegriffen. Die Sicherheitsplattform Hunter weist in obigem Tweet darauf hin, dass man \u00fcber 34.000 VMware vCenter-Instanzen per Internet erreichen k\u00f6nne. Ich habe mal geschaut, die Hunter-Liste<\/a> weist auch Instanzen in Deutschland auf.\u00a0<\/p>\n Im Juli 2024 wurde die Schwachstelle CVE-2024-38080 in Hyper-V von Microsoft mittels Updates geschlossen. Es handelt sich um eine Windows Hyper-V Elevation of Privileg-Schwachstelle mit einem CVEv3-Score von 7.8 (important). Ein lokaler, authentifizierter Angreifer kann diese Sicherheitsl\u00fccke ausnutzen, um SYSTEM-Rechte zu erlangen. Nach Angaben von Microsoft wurde diese Sicherheitsl\u00fccke als Zero-Day ausgenutzt. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024)<\/a> berichtet. Wer die Juli 2024-Updates in Windows installiert hat, sollte also gesch\u00fctzt sein.<\/p>\n Sicherheitsforscher Pwndorei hat eine detaillierte Analyse sowie einen Proof-of-Concept (PoC) Exploit-Code f\u00fcr die gepatchte Zero-Day-Schwachstelle CVE-2024-38080 ver\u00f6ffentlicht, wie man bei Security Online<\/a> nachlesen kann. \u00a0<\/p>\n Die Analyse von Pwndorei<\/a> zeigt, dass die Schwachstelle in der Funktion VidExoBrokerIoctlReceive auftritt. Diese Funktion ist f\u00fcr die Bearbeitung von Ioctl-Anfragen in Hyper-V zust\u00e4ndig, f\u00fchrt aber eine unzureichende Validierung der Daten in IRP-Strukturen (I\/O Request Packet) durch. Ein Angreifer kann diesen Fehler ausnutzen, indem er b\u00f6sartige IRP-Anforderungen \u00fcber die Funktion VidExoBrokerIoctlSend sendet. Dies f\u00fchrt zu einem Integer-\u00dcberlauf im nicht ausgelagerten Pool des Kernels, der anschlie\u00dfend einen Puffer\u00fcberlauf verursacht und zu einem BSOD (Blue Screen of Death) f\u00fchrt.<\/p>\n Abschie\u00dfend noch ein Shorty: Die Sicherheitsforscher von TrueSec zeigen in ihrem Beitrag How to Break Out of Hyper-V and Compromise your Admins<\/a> Methoden, wie man die weit verbreiteten Protokolle PowerShell Remoting<\/em> und PowerShell Direct\u00a0<\/em>missbrauchen kann, um\u00a0aus einer Hyper-V-Umgebung auszubrechen und auf den Host zuzugreifen.<\/p>\n Kleiner Sammelbeitrag und Nachtrag rund um das Thema Virtualisierung. In Hyper-V wurde k\u00fcrzlich eine Schwachstelle gepatcht – jetzt gibt es einen Proof of Concept (PoC) f\u00fcr diese Schwachstelle. Und bei VMware gibt es ebenfalls Schwachstellen sowie Infos, wie sich aus … Weiterlesen In VMware vCenter gibt es einen kritische Schwachstelle (CVE-2024-38812), die mit einem CVSS-Index von 9.8 bewertet wird und eine Remotecodeausf\u00fchrung erm\u00f6glichen kann. Die Sicherheitsplattform Hunter weist in nachfolgendem Tweet<\/a> auf diesen Sachverhalt hin.\u00a0<\/p>\n
![\"VMware](\"https:\/\/i.postimg.cc\/Ss1HzZ0k\/image.png\")
<\/a><\/p>\nPoC f\u00fcr Hyper-V-Schwachstelle CVE-2024-38080<\/h2>\n
![\"Hyper-V](\"https:\/\/i.postimg.cc\/W3jsnp1S\/image.png\" "\\"Hyper-V")
<\/a><\/p>\nAusbruch aus Hyper-V<\/h2>\n
![\"Ausbruch](\"https:\/\/i.postimg.cc\/bNCy0jbf\/image.png\")
<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"