Broadcom a publié aujourd’hui des mises à jour de sécurité pour corriger une vulnérabilité de contournement d’authentification de gravité élevée dans VMware Tools pour Windows.
VMware Tools est une suite de pilotes et d’utilitaires conçus pour améliorer les performances, les graphiques et l’intégration globale du système pour les systèmes d’exploitation invités exécutés sur des machines virtuelles VMware.
La vulnérabilité (CVE-2025-22230) est causée par une faiblesse incorrecte du contrôle d’accès et a été signalée par Sergey Bliznyuk de Positive Technologies (une société de cybersécurité russe sanctionnée accusée de trafic d’outils de piratage).
Des attaquants locaux disposant de faibles privilèges peuvent l’exploiter dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur pour obtenir des privilèges élevés sur des machines virtuelles vulnérables.
« Un acteur malveillant disposant de privilèges non administratifs sur une machine virtuelle invitée Windows peut être en mesure d’effectuer certaines opérations à privilèges élevés au sein de cette machine virtuelle », explique VMware dans un avis de sécurité publié mardi.
Plus tôt ce mois-ci, Broadcom a également corrigé trois VMware zero days (CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226), qui ont été marqués comme exploités dans des attaques et signalés par le Centre de renseignement sur les menaces de Microsoft.
Comme l’entreprise l’expliquait à l’époque, les attaquants disposant d’un administrateur privilégié ou d’un accès root peuvent enchaîner ces vulnérabilités pour échapper au bac à sable de la machine virtuelle.
Quelques jours après la publication des correctifs, la plate-forme de surveillance des menaces Shadowserver a découvert que plus de 37 000 instances VMware ESXi exposées à Internet étaient vulnérables aux attaques CVE-2025-22224.
Les gangs de ransomwares et les pirates informatiques parrainés par l’État ciblent fréquemment les vulnérabilités VMware, car les produits VMware sont largement utilisés dans les opérations d’entreprise pour stocker ou transférer des données d’entreprise sensibles.
Par exemple, en novembre, Broadcom a averti que les attaquants exploitaient deux vulnérabilités VMware vCenter Server: une élévation de privilèges vers root (CVE-2024-38813) et une faille critique d’exécution de code à distance (CVE-2024-38812) identifiée lors du concours de piratage de la Matrix Cup 2024 en Chine.
En janvier 2024, Broadcom a également révélé que des pirates informatiques de l’État chinois avaient utilisé une vulnérabilité critique de jour zéro de vCenter Server (CVE-2023-34048) depuis la fin de 2021 pour déployer des portes dérobées VirtualPita et VirtualPie sur les systèmes ESXi affectés.