Schwachstelle in VMware Workstation

VMware Workstation ist eine Virtualisierungssoftware, die es ermöglicht, parallel mehrere virtuelle Maschinen auf einem Gerät auszuführen. Die Verwaltung dieser virtuellen Maschinen kann durch die Software VMware Workstation Player oder VMware Workstation Pro erfolgen. Diese ist auf allen Systemen installiert, mit denen virtuelle Maschinen verwaltet werden.

Im Zuge von Forschungsarbeiten wurde eine Schwachstelle in den Windows-Installationspaketen von VMware Workstation Player und VMware Workstation Pro gefunden, die dem Hersteller daraufhin gemeldet wurde.

CVE-2023-20854 – willkürliche Dateilöschung

In der Reparaturfunktion des Installationspakets werden unsichere Operationen durchgeführt, die es einem unprivilegierten lokalen Angreifer erlauben, nahezu beliebige Dateien auf dem System zu löschen. Durch gezieltes Löschen von Abhängigkeiten der VMware-Workstation-Installation kann ein Angreifer System-Rechte erlangen und beliebigen Code ausführen. Von dieser Schwachstelle ist sowohl VMware Workstation Player als auch VMware Workstation Pro betroffen.

Die Anfälligkeit in den beiden Installationspaketen wurde durch VMware unter der Referenz VMSA-2023-0003 [1] zusammengefasst und als CVE-2023-20854 angemeldet.

Betroffene Versionen

VMware Workstation vor Version 17.0.1

Behebung

Die Schwachstelle lässt sich durch ein Update auf Version 17.0.1 von VMware Workstation Player bzw. VMware Workstation Pro beheben.

Zeitachse

26.09.2022: Hersteller wird kontaktiert und über die Schwachstelle informiert

28.09.2022: Initiale Antwort des Herstellers und Zustellung weiterer Informationen zur Schwachstelle

17.10.2022: Hersteller bestätigt die Anfälligkeit

03.02.2023: Veröffentlichung eines Patch und Zuordnung der CVE-2023-20854

Referenzen

[1] https://www.vmware.com/security/advisories/VMSA-2023-0003.html

Credits

Frederik Reiter <frederik.reiter@cirosec.de>