概要

セキュリティ研究機関であるNCC Groupは、VMware Workstationにおけるゲストからホストへのエスケープ脆弱性に関する詳細な分析と概念実証（PoC）を公開しました。この脆弱性は、仮想デバイス処理におけるロジックの欠陥に起因し、ゲストVMからホストプロセスでのメモリ破損と制御されたコード実行を可能にします。これにより、ゲストユーザーランドからホストへの侵害に至る実用的な経路が示され、現実世界でのリスクが浮き彫りになりました。

攻撃にはゲストVM内での実行が必要ですが、VMwareバックドア/RPCインターフェースへの細工された入力の送信能力以外の特別なゲスト権限は不要です。

脆弱性の詳細と影響

このエスケープ脆弱性は、VMの分離を破り、Workstationハイパーバイザープロセスのホストコンテキストで任意のコードを実行することを可能にします。さらに、ホストファイルシステムや隣接するVMへの侵入も可能になります。複数のVMを使用する開発者環境や機密性の高いラボ環境では、データ窃盗やラテラルムーブメントのリスクが高まります。

関連するCVE IDは以下の通りです。

• CVE-2023-20870
• CVE-2023-34044
• CVE-2023-20869

概念実証（PoC）の概要

NCC Groupが公開したPoCの概要は、教育目的および制御されたラボ環境での防御検証のために以下のような手順で構成されています。

• ゲストユーザーランドからVMwareバックドア/RPCセッションを確立します。
• 同じsessionIDを持つ2つ以上のRPCパケットを送信し、バイナリサイズとペイロードのオフセット/サイズを操作して、ホストのバッファ処理ルーチンで境界外書き込み（Out-of-Bounds Write）をトリガーします。
• 隣接するホストメモリを上書きし、制御フローを攻撃者が制御するデータにリダイレクトします。
• Workstationプロセスコンテキストで実行される最小限のホスト側シェルペイロードを配置します。

重要な悪用詳細：同じsessionIDを再利用し、細工されたサイズ/オフセット計算を行うことで、ホストのパーサーでバッファ境界の誤計算が発生し、境界外書き込みが実行されます。これにより、攻撃者が制御するコードへの確実なリダイレクトが可能になります。

緩和策

この脆弱性からシステムを保護するためには、以下の対策を講じることが推奨されます。

• 脆弱な仮想デバイス/RPC処理パスを修正するVMwareのセキュリティアップデートを適用してください。
• ローカルのWorkstationで信頼できないワークロードを制限し、高リスクのテストVMを機密性の高いホストデータから分離してください。
• VMwareプロセスからの異常な子プロセス作成や、Workstationホストプロセスに起因するファイルアクセスを監視してください。
• ホストEDR（Endpoint Detection and Response）およびアプリケーション制御を適用し、エクスプロイト後のハイパーバイザープロセスの動作を制約してください。

---

元記事: https://gbhackers.com/poc-released-for-vmware-workstation-vulnerability/