VMwareは、Pwn2Own Vancouver 2024ハッキングコンテストで悪用された3件のゼロデイを含む、WorkstationおよびFusionデスクトップハイパーバイザーの4件のセキュリティ脆弱性を修正した。
本日修正された最も深刻な脆弱性は、CVE-2024-22267で、STAR Labs SGおよびTheoriチームによってデモされたvbluetoothデバイスのuse-after-freeの欠陥です。
「仮想マシンのローカル管理者権限を持つ悪意のある行為者は、この問題を悪用して、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行する可能性がある」と、同社は火曜日に発表したセキュリティアドバイザリで説明している。
VMwareはまた、本日のセキュリティアップデートをすぐにインストールできない管理者向けに、一時的な回避策も提供している。この回避策では、「仮想マシンとBluetoothデバイスを共有する」オプションのチェックを外して、仮想マシンのBluetoothサポートをオフにする必要がある。
また、TheoriおよびSTAR Labs SGが報告したCVE-2024-22269およびCVE-2024-22270として追跡されている2つの深刻度の高いセキュリティバグは、ローカル管理者権限を持つ攻撃者が仮想マシンのハイパーバイザメモリから特権情報を読み取ることを可能にする情報漏えいの脆弱性です。
本日修正された4つ目のVMware WorkstationおよびFusionの脆弱性(CVE-2024-22268として追跡)は、Shader機能におけるヒープバッファオーバーフローの弱点が原因です。また、あるセキュリティ研究者は、トレンドマイクロのゼロデイ・イニシアチブを通じ、この脆弱性を報告しています。
VMwareは、「3Dグラフィックスが有効になっている仮想マシンに管理者以外のアクセス権を持つ悪意のある行為者は、この脆弱性を悪用してサービス拒否状態を作り出すことができる可能性がある」と述べている。
ただし、このセキュリティ上の欠陥を悪用するには、対象となる仮想マシンで3Dグラフィックスが有効になっている必要がある。
Pwn2Own Vancouver 2024の結果
セキュリティ研究者は、今年のバンクーバー・ハッキング・コンテストで29のゼロデイ(およびいくつかのバグの衝突)をデモした後、1,132,500ドルを集めました。Apple Safari、Google Chrome、Microsoft Edgeのウェブ・ブラウザをダウンさせたManfred Paulが優勝し、202,500ドルの現金を獲得しました。
コンテスト中、STAR Labs SGチームは2つのVMware Workstationのセキュリティ欠陥を連鎖させてリモート・コード実行を行い、3万ドルを獲得した。
また、Theoriのセキュリティ研究者であるGwangun JungとJunoh Leeは、VMware WorkstationのVMをエスケープし、3つの脆弱性(未初期化変数のバグ、UAFの弱点、ヒープベースのバッファ・オーバーフロー)を標的としたエクスプロイト・チェーンを使用して、ホストのWindows OS上でSYSTEMとしてコードを実行し、13万ドルの現金を手にしました。
GoogleとMozillaもPwn2Own Vancouver 2024で悪用されたいくつかのゼロデイをコンテスト終了後数日以内に修正しており、Mozillaは1日後、Googleはわずか5日後にパッチをリリースしている。
しかし、トレンドマイクロのゼロデイ・イニシアティブがバグの詳細を公表するまでの90日間という猶予があるため、ベンダーは通常、Pwn2Ownで示されたセキュリティ上の欠陥を修正するのに時間をかけている。
Comments