VMware a corrigé quatre vulnérabilités de sécurité dans les hyperviseurs Workstation et Fusion Desktop, dont trois zero-days exploités lors du concours de piratage Pwn2Own Vancouver 2024.

La faille la plus grave corrigée aujourd’hui est CVE-2024-22267, une faille d’utilisation après libération de l’appareil vbluetooth présentée par les équipes STAR Labs SG et Theori.

« Un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle peut exploiter ce problème pour exécuter du code en tant que processus VMX de la machine virtuelle s’exécutant sur l’hôte », explique la société dans un avis de sécurité publié mardi.

VMware fournit également une solution de contournement temporaire pour les administrateurs qui ne peuvent pas installer immédiatement les mises à jour de sécurité d’aujourd’hui. Cette solution de contournement les oblige à désactiver la prise en charge Bluetooth de la machine virtuelle en décochant l’option « Partager les périphériques Bluetooth avec la machine virtuelle ».

Deux autres bogues de sécurité de haute gravité suivis comme CVE-2024-22269 et CVE-2024-22270, signalés par Theori et STAR Labs SG, sont des vulnérabilités de divulgation d’informations qui permettent aux attaquants disposant de privilèges d’administrateur local de lire des informations privilégiées à partir de la mémoire de l’hyperviseur d’une machine virtuelle.

La quatrième vulnérabilité VMware Workstation et Fusion corrigée aujourd’hui (CVE-2024-22268) est causée par une faiblesse de débordement de tampon de tas dans la fonctionnalité de Shader. Un chercheur en sécurité l’a également signalé via l’initiative Zero Day de Trend Micro.

« Un acteur malveillant disposant d’un accès non administratif à une machine virtuelle avec des graphiques 3D activés peut être en mesure d’exploiter cette vulnérabilité pour créer une condition de déni de service », explique VMware.

Cependant, l’exploitation réussie de cette faille de sécurité nécessite l’activation des graphiques 3D sur la machine virtuelle ciblée.

Résultats Pwn2Own Vancouver 2024
Les chercheurs en sécurité ont collecté 1 132 500 $après avoir fait une démonstration de 29 jours zéro (et quelques collisions de bogues) lors du concours de piratage de Vancouver de cette année, Manfred Paul émergeant comme le gagnant et gagnant 202 500 cash en espèces après avoir supprimé les navigateurs Web Apple Safari, Google Chrome et Microsoft Edge.

Au cours du concours, l’équipe STAR Labs SG a gagné 30 000 after après avoir enchaîné deux failles de sécurité VMware Workstation pour obtenir l’exécution de code à distance.

Les chercheurs en sécurité de Theori Gwangun Jung et Junoh Lee sont également rentrés chez eux avec 130 000 cash en espèces pour s’être échappés d’une machine virtuelle VMware Workstation afin d’obtenir l’exécution de code en tant que SYSTÈME sur le système d’exploitation Windows hôte à l’aide d’une chaîne d’exploitation ciblant trois vulnérabilités: un bogue de variable non initialisé, une faiblesse UAF et un débordement de tampon basé sur le tas.

Google et Mozilla ont également corrigé plusieurs jours zéro exploités à Pwn2Own Vancouver 2024 quelques jours après la fin du concours, Mozilla publiant des correctifs un jour plus tard et Google après seulement cinq jours.

Cependant, les fournisseurs prennent généralement leur temps pour corriger les failles de sécurité démontrées lors de Pwn2Own, car ils disposent de 90 jours pour publier les correctifs avant que l’initiative Zero Day de Trend Micro ne divulgue publiquement les détails des bogues.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *