Các nhà nghiên cứu bảo mật đã phát hiện các lỗ hổng CVE VMware Tools nghiêm trọng trong dịch vụ Guest Authentication Service (VGAuth) của VMware Tools. Những lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền từ bất kỳ tài khoản người dùng nào lên quyền truy cập **SYSTEM** đầy đủ trên các máy ảo Windows.
Các lỗ hổng được đánh dấu là CVE-2025-22230 và CVE-2025-22247, ảnh hưởng đến VMware Tools phiên bản 12.5.0 và các phiên bản cũ hơn. Phạm vi ảnh hưởng bao gồm cả môi trường được quản lý bởi ESXi và các triển khai VMware Workstation độc lập.
Tóm tắt các Lỗ hổng CVE VMware Tools
Lỗi bảo mật chính xuất phát từ một lỗ hổng cơ bản trong cơ chế xác thực named pipe của VGAuth. Dịch vụ tạo tên pipe có thể dự đoán được theo định dạng **\\.\pipe\vgauth-service-<username>** mà không sử dụng cờ **FILE_FLAG_FIRST_PIPE_INSTANCE**. Điều này tạo ra một trong những điểm yếu cốt lõi của lỗ hổng CVE VMware Tools này, cho phép kẻ tấn công tạo trước các pipe này với quyền truy cập cho phép rộng rãi.
Bằng cách thiết lập một pipe có tên **vgauth-service-system** trước khi dịch vụ hợp lệ khởi tạo, kẻ tấn công có thể chiếm quyền các phiên xác thực. Từ đó, chúng có thể giả mạo tài khoản **NT AUTHORITY\SYSTEM**, cấp ngay lập tức các đặc quyền siêu người dùng trong giao thức VGAuth. Cơ chế này bỏ qua mọi giới hạn bảo mật dự kiến.
Lỗ hổng thứ hai khai thác việc xác thực đầu vào không đủ trong các hoạt động lưu trữ alias. Kẻ tấn công có thể chèn các chuỗi path traversal như **../../../../../../evil** vào các tham số tên người dùng. Hành vi này cho phép chúng thoát khỏi thư mục lưu trữ alias dự kiến và nhắm mục tiêu vào các tệp hệ thống tùy ý.
Kết hợp với các kỹ thuật thao túng symlink của Windows, điều này tạo ra các nguyên thủy tấn công mạnh mẽ. Các nhà nghiên cứu đã chứng minh hai đường dẫn khai thác chính:
- Xóa tệp tùy ý thông qua hoạt động **RemoveAlias**.
- Ghi tệp tùy ý thông qua việc ghi đè alias store.
Cả hai kỹ thuật đều tận dụng các cuộc tấn công TOCTOU (time-of-check/time-of-use) bằng cách sử dụng Opportunistic Locks. Điều này giúp định thời gian chuyển đổi mục tiêu symlink một cách chính xác.
Chi tiết Kỹ thuật: Cơ chế Khai thác Chiếm quyền Điều khiển Hệ thống
Khai thác CVE-2025-22230: Tấn công Giả mạo Named Pipe
Lỗ hổng này tập trung vào cách dịch vụ VGAuth của VMware Tools xử lý các named pipe. VGAuth sử dụng các named pipe để giao tiếp giữa máy ảo và các tiến trình Guest OS.
Cụ thể, tên pipe được tạo theo một định dạng nhất quán: **\\.\pipe\vgauth-service-<username>**. Vấn đề nằm ở việc dịch vụ không sử dụng cờ **FILE_FLAG_FIRST_PIPE_INSTANCE** khi tạo pipe. Điều này cho phép một tiến trình có đặc quyền thấp hơn hoặc độc hại có thể tạo trước một named pipe với cùng tên. Khi dịch vụ VGAuth cố gắng tạo pipe, nó sẽ kết nối với pipe do kẻ tấn công tạo sẵn. Đây là một điểm trọng yếu trong việc khai thác lỗ hổng CVE VMware Tools này.
Bằng cách tạo trước pipe có tên **vgauth-service-system**, kẻ tấn công có thể chặn và chiếm quyền các phiên xác thực. Điều này cho phép chúng giả mạo tài khoản **NT AUTHORITY\SYSTEM**, từ đó đạt được quyền **chiếm quyền điều khiển hệ thống** đầy đủ trên máy ảo bị ảnh hưởng. Đây là một phương pháp leo thang đặc quyền cục bộ (LPE) hiệu quả.
Khai thác CVE-2025-22247: Lỗi Xác thực Đầu vào và Khai thác Path Traversal
Lỗ hổng thứ hai liên quan đến việc xử lý không an toàn các đường dẫn trong các hoạt động liên quan đến alias store. Alias store là một cơ chế của VMware Tools để quản lý các ánh xạ đường dẫn hoặc bí danh. Lỗ hổng này cũng là một trong các lỗ hổng CVE VMware Tools cần đặc biệt chú ý.
Kẻ tấn công có thể lợi dụng lỗi xác thực đầu vào bằng cách chèn các chuỗi path traversal như **../../../../../../evil** vào các tham số của tên người dùng. Việc này cho phép họ thoát khỏi thư mục alias store dự kiến và truy cập các tệp hoặc thư mục ngoài phạm vi cho phép. Kết hợp với khả năng thao túng symlink của Windows, kẻ tấn công có thể:
- **Xóa tệp tùy ý:** Sử dụng thao tác **RemoveAlias** để nhắm mục tiêu và xóa các tệp hệ thống quan trọng. Ví dụ điển hình là nhắm mục tiêu các thư mục quan trọng như **C:\Config.Msi**, cho phép áp dụng các kỹ thuật leo thang đặc quyền Windows Installer đã biết.
- **Ghi tệp tùy ý:** Viết đè lên alias store để đưa các tệp độc hại vào các vị trí đặc quyền với ACL (Access Control List) được kế thừa cho phép. Điều này tạo điều kiện cho các cuộc tấn công DLL hijacking, dẫn đến thực thi mã với đặc quyền **SYSTEM**.
Các cuộc tấn công này thường sử dụng kỹ thuật TOCTOU (Time-of-Check/Time-of-Use), kết hợp với Opportunistic Locks. Kỹ thuật này cho phép kẻ tấn công kiểm soát thời điểm chính xác mà mục tiêu symlink được chuyển đổi, đảm bảo rằng thao tác đọc hoặc ghi được thực hiện trên tệp mục tiêu mong muốn thay vì tệp gốc an toàn. Thông tin chi tiết về các kỹ thuật khai thác này có thể được tìm thấy tại nguồn nghiên cứu: The Guest Who Could: Exploiting LPE in VMware Tools.
Giải pháp và Khuyến nghị Cập nhật Bản vá Bảo mật
Broadcom, công ty sở hữu VMware, đã phát hành các bản cập nhật bảo mật để khắc phục hai lỗ hổng CVE VMware Tools này.
Cập nhật cho CVE-2025-22230
Lỗ hổng **CVE-2025-22230** đã được giảm thiểu bằng cách:
- Ngẫu nhiên hóa tên pipe.
- Triển khai cờ **FILE_FLAG_FIRST_PIPE_INSTANCE** một cách phù hợp.
Những thay đổi này ngăn chặn kẻ tấn công tạo trước các named pipe và chiếm quyền các phiên xác thực của VGAuth.
Cập nhật cho CVE-2025-22247
Lỗ hổng **CVE-2025-22247** đã nhận được các bản sửa lỗi toàn diện hơn, bao gồm:
- Xác thực đường dẫn (path validation).
- Xác minh đường dẫn trong thời gian chạy (runtime path verification).
- Một tùy chọn cấu hình mới **allowSymlinks** (được tắt theo mặc định) để kiểm soát việc cho phép symlink.
Tùy chọn **allowSymlinks** mới cung cấp một lớp bảo vệ bổ sung, đặc biệt quan trọng để ngăn chặn các cuộc tấn công dựa trên thao tác symlink. Việc tắt tùy chọn này theo mặc định sẽ tăng cường bảo mật đáng kể.
Khuyến nghị Hành động
Các tổ chức nên ngay lập tức thực hiện **cập nhật bản vá bảo mật** lên VMware Tools **phiên bản 12.5.2** hoặc các phiên bản mới hơn. Các lỗ hổng CVE VMware Tools này ảnh hưởng đến cài đặt mặc định của VMware Tools trên Windows, khiến gần như tất cả các máy ảo Windows trong môi trường VMware đều có khả năng bị khai thác bởi người dùng cục bộ nhằm mục đích leo thang đặc quyền.
Do VGAuth được triển khai rộng rãi và mức độ nghiêm trọng của những lỗ hổng này, các quản trị viên cần ưu tiên nỗ lực vá lỗi. Việc này là cần thiết để ngăn chặn các vụ **chiếm quyền điều khiển hệ thống** tiềm ẩn thông qua các vectơ tấn công đã được tài liệu hóa rõ ràng.
