回归最本质的信息安全

安全预警:VMware虚拟机逃逸利用工具已在网上大规模流传,用户请尽快更新

2017年7月20日发布

58,075
2
4

导语:嘶吼建议所有使用VMware相关产品的企业和个人用户近期尽快检查更新,如暂时不能更新,应保持良好的上网和使用习惯,勿随意下载、打开不明来源的文件。

今天,推特上流传着一个VMware虚拟机逃逸漏洞的利用工具。

屏幕快照 2017-07-20 下午5.00.51.png

这个工具已经在GitHub上开源,作者是CTF/PWN相关活动选手@unamer。根据项目介绍,利用工具对VMware WorkStation 12.5.5之前的版本都有效,只需在虚拟机内执行相应PoC,宿主机便弹出了计算器。换句话说,攻击者如果在工具里加入黑客远控木马,是可以直接控制使用者宿主机的

exp.gif

@unamer的测试环境是:

宿主机:Windows 10 x64

编译器:VS2013

虚拟机版本:VMware 12.5.2 build-4638234

嘶吼编辑在VMware 12.5.1上也同样复现了整个过程,环境基本一致,不过不知道是工具不够稳定还是中文系统的原因,宿主机弹计算器后,虚拟机系统里有文件损坏,导致该虚拟机无法打开。

WechatIMG399.jpg

工具作者也提到,目前工具做得不是很精致,由于没有正确地控制堆内存会导致宿主机崩溃。

目前还不清楚该工具利用了哪个漏洞,根据影响版本推测,这可能是今年3月份Pwn2Own 2017上的漏洞。3月份的Pwn2Own 2017有腾讯、360两只团队成功演示了VMware虚拟机逃逸技术(长亭科技也掌握了类似漏洞,很可惜比赛前一天被修复了),后来VMware官方在VMware WorkStation 12.5.5版本将所有演示漏洞修复。

考虑到目前利用代码已经开源和流传,且受影响版本较新,嘶吼建议所有使用VMware相关产品的企业和个人用户近期尽快检查更新,如暂时不能更新,应保持良好的上网和使用习惯,勿随意下载、打开不明来源的文件

如若转载,请注明原文地址: http://www.4hou.com/vulnerable/6748.html

点赞 4
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论

    longye
    longye 2017-07-21 16:54

    根据安恒的分析,这个工具利用的漏洞应该是CVE-2017-4901,今年3月份被VMware修复,EXSi不受影响
    修复公告:https://www.vmware.com/security/advisories/VMSA-2017-0005.html

    longye
    longye 2017-07-21 16:17

    工具作者今天凌晨针对虚拟机崩溃重启出错问题放出了清理脚本。。。
    Q: Error in reboot vmware after crashing process.
    A: Just remove *.lck folder in your vm directory or wait a while and have a coffee :).Here is a simple script I used to clean up.