Dos vulnerabilidades críticas en el componente del servicio de autenticación de invitados de VMware (VGAUTH) de las herramientas VMware permiten a los atacantes locales aumentar los privilegios de cualquier cuenta de usuario a acceso a nivel de sistema en máquinas virtuales de Windows.
Las vulnerabilidades, rastreadas como CVE-2025-22230 y CVE-2025-22247, afectan las instalaciones de VMware Tools en entornos administrados por ESXI e implementaciones de estación de trabajo VMware independientes.
Control de llave
1. VMware Tools Vgauth permite a los usuarios locales convertirse en un sistema en Windows VMS
2. Nombrado secuestro de tuberías y traversal de ruta permiten la escalada de privilegios.
3. Actualización de VMware Tools 12.5.1+ ahora
Vulnerabilidad de derivación de autenticación
La primera vulnerabilidad, CVE-2025-22230, se deriva de un defecto crítico en la implementación de tuberías con nombre de Vgauth que permite que la autenticación pase por alto a través de un ataque previo a la creación.
PT Swarm informa que el servicio VGauth crea tuberías privadas específicas del usuario utilizando convenciones de nombres predecibles (\. \ Pipe \ vgauth-service-) sin la bandera FILE_FLAG_FIRST_PIPE_INSTANCE, lo que permite a los atacantes de baja privilización crear tuberías maliciosas antes del servicio.
Seguridad investigador Sergey Bliznyuk demostró cómo los atacantes pueden explotar esto creando una tubería con nombre en \. \ Pipe \ Vgauth-Service-System con controles de acceso permisivo.
Cuando el servicio intenta crear la tubería para la autenticación del sistema, sin saberlo, utiliza la tubería controlada por el atacante, otorgando efectivamente los privilegios del superusuario dentro del protocolo VGAUTH.
Una vez autenticado como sistema, los atacantes obtienen acceso a las tiendas de alias de certificado, mecanismos de validación de boletos y tokens de autenticación SAML para la escalada de privilegios.
Vulnerabilidad de recorrido de ruta
La segunda vulnerabilidad, CVE-2025-22247, explota una validación de entrada insuficiente en las funciones de gestión de alias.
Las operaciones de consultas y eliminación aceptan parámetros de nombre de usuario insanitizados, habilitando ataques de transferencia de ruta utilizando secuencias como “../../../../../../../)” para salir del director C: \ ProgramData \ VMware \ VMware vgauth \ aliasstore.
Los atacantes pueden aprovechar la manipulación simbólica del enlace y los ataques de hora de verificación/tiempo de uso (TCCTOU) para lograr operaciones arbitrarias de eliminación de archivos y escritura.
Al combinar puntos de montaje de Junction con enlaces simbólicos del dispositivo DOS y utilizar bloqueos oportunistas para el tiempo preciso, los atacantes pueden redirigir las operaciones de archivos a ubicaciones privilegiadas del sistema como C: \ Windows \ System32, lo que permite el secuestro de DLL para la ejecución del código de nivel de sistema.
CVETITLECVSS 3.1 Versión de ScoreSeverityAffected Versión Patched CVE-2025-2223330 Autenticación a través de HOJACKING DE PIEPE 7.8 HERRAMIENTOS DE HIGHVMWARE 12.5.0VMWARE Herramientas 12.5.1CVE-2025-222247Path Traversal e Insecure Link Resolución 6.1 Mediumsware Herramientas 12.5.0Vmware Media 12.2.2.2.2.2.2.2.2.2.2.2.2.
Parches lanzados
Broadcom ha abordado ambas vulnerabilidades a través de actualizaciones de seguridad coordinadas después de la divulgación responsable a principios de 2025.
CVE-2025-22230 fue parcheado en VMware Tools 12.5.1 lanzado el 25 de marzo de 2025, implementando nombres de tuberías privadas aleatorias con sufijos UUID y aplicando la bandera FILE_FLAG_FIRST_PIE_INSTANCE para evitar ataques de secuestro.
CVE-2025-22247 Recibió remediación en VMware Tools 12.5.2 El 12 de mayo de 2025, introduciendo la validación de entrada para rechazar los nombres de usuario que contienen caracteres transversales de ruta inseguros, validación de rutas de tiempo de ejecución utilizando getFinalPathNameByHandlew, y un nuevo flager de configuración de Permite el incumplimiento de False.
Las organizaciones que ejecutan herramientas VMware en entornos de invitados de Windows deben actualizarse inmediatamente a la última versión para mitigar estos riesgos críticos de seguridad.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}