VMware-Leck: Virtuelle Maschine kann Host übernehmen

Immunity hat einen Fehler in VMware-Programmen entdeckt, der es bösartigem Code auf einer Virtual Machine ermöglicht, das Host-Betriebssystem zu übernehmen. Das auf Penetrationstests spezialisierte Unternehmen hat diesen Angriff in sein Test-Tool Canvas 6.47 aufgenommen, das letzte Woche erschien.

Der als „Cloudburst“ bezeichnete Angriff nutzt eine Schwäche in der Anzeigefunktion von VMware Workstation. Dazu muss eine manipulierte Videodatei aufgerufen werden. Betroffen sind VMware Workstation sowie Player 6.5.1 und früher.

Für die Lücke spielt es theoretisch keine Rolle, welches Betriebssystem übernommen werden soll – der Fehler existiert unter allen von VMware unterstützten – Linux eingeschlossen. Der vorliegende Exploit läuft aber nur unter Windows als Host- und auch VM-Betriebssystem und mit den Software-Versionen 6.5.0 sowie 6.5.1. Dies erklärt Immunity in den Release Notes.

Der Bug, der die Referenznummer CVE-2009-1244 trägt, war VMware schon im Januar gemeldet worden. Seit April ist ein Patch verfügbar. Die besondere Gefahr der Lücke besteht darin, dass sie unter den Standardeinstellungen der VMware-Programme ausgenutzt werden kann. Secunia hat sie als „höchst kritisch“ eingestuft.

Es handelt sich nicht um das erste Leck, das einer virtuellen Maschine erlaubt, den Host zu manipulieren: 2007 hatten es eine Speichermanipulation (CVE-2007-4496) und ein Fehler in der Implementierung von Shared Folders (CVE-2007-1744) geschafft, Dateien des Host-Systems zu schreiben und auszulesen. Für den ersten Fehler konnte aber kein Exploit entwickelt werden, und eine Ausnutzung des zweiten erforderte von der Standardkonfiguration abweichende Einstellungen, so Sicherheitsforscher. Insofern komme der aktuellen Schwachstelle historische Bedeutung zu.