VMware Workstation maakt host-OS kwetsbaar voor manipulatie com1-poort

Een beveiligingsonderzoeker van Google heeft een beveiligingsprobleem in VMware Workstation gepubliceerd. Door gemanipuleerde content vanuit een gastbesturingssysteem te printen via de virtuele com1-poort kan kwaadaardige code op het hostbesturingssysteem worden gedraaid.

In VMware Workstation met Windows als hostbesturingssysteem wordt standaard een virtuele com1-printerpoort geïnstalleerd en gestart. Deze component, vprintproxy.exe, maakt het mogelijk om op het gastbesturingssysteem printopdrachten te geven die vervolgens worden gekopieerd naar de printerspooler op het onderliggende hostsysteem. Kostya Kortchinsky van het Google Security Team heeft echter een kwetsbaarheid gevonden in de afwikkeling van printeropdrachten vanuit het gastsysteem. Na de bugs bij VMware te hebben aangekaart en na het uitbrengen van een update van VMware Workstation naar versie 11.1.1 heeft Kortchinsky het lek gepubliceerd, inclusief exploitcode.

De bugs kunnen misbruikt worden door vanuit het gastsysteem speciaal aangepaste content, zoals een gemanipuleerd jpeg2000-bestand, naar de com1-poort te sturen. Daarvoor is geen administratortoegang nodig. Door de fouten in vprintproxy.exe kan kwaadaardige code op het hostsysteem worden gestart.

Het beveiligingsprobleem is te verhelpen door VMware naar de laatste versie te updaten. Een systeembeheerder kan er ook voor kiezen om de virtuele printer in de instellingen geheel uit te schakelen, waardoor vprintproxy.exe niet langer in de achtergrond draait.

IT-banen

Reacties (36)

Loller1 22 juni 2015 13:28

inclusief exploitcode

*zucht*

Andere bedrijven moesten dat eens doen met software van Google, maar dan is het kot te klein. Of ze zeggen gewoon dat het product niet meer ondersteund is en laten een dikke 650 miljoen gebruikers in de steek (I'm looking at you, Android 4.3). Waar is het publiceren van de exploitcode in godsnaam goed voor?

calvinturbo @Loller1 • 22 juni 2015 13:59

Vreemde opmerking weer, VMWare heeft het lek inmiddels al gedicht, dus dit hebben VMWare en Google netjes samen opgelost.

Loller1 @calvinturbo • 22 juni 2015 14:06

Wat is er in godsnaam vreemd aan dat ik er tegen ben dat Google zomaar code op straat gooit waar kwaadwillende direct mee aan de slag kunnen?

Cergorach @Loller1 • 22 juni 2015 14:29

Dat heet ontwikkeling. Zoals anderen ook al hebben aangegeven is dit belangrijk omdat andere onderzoekers natuurlijk bouwen op onderzoek van anderen. Als je braaf je systemen update is er niets aan de hand, als je dat niet doet is het je eigen schuld. Verder onderzoek zorgt er voor dat andere gaten gevonden kunnen worden. Natuurlijk kan men er misbruik van maken, maar er zijn tig zaken waar men misbruik van kan maken, moeten we alles verbieden dat misbruikt kan worden?

WPN @Cergorach • 22 juni 2015 20:23

Je zou het ook op verzoek kunnen vrijgeven. Dat maakt het toch al een beetje lastiger om zonder sporen aan de code te komen.

postbus51 @Loller1 • 22 juni 2015 15:58

In feite niks , maar bedenk dat er nog veel meer dingen zijn die worden gepubliceerd die
in 'de verkeerde handen' schadelijk zijn
En kennis van geeft de mogenlijkheid om juist iets in te brengen , nu inprincipe de bug gedicht is (plus de mogenlijkheid om de printproxy uitteschakelen) is de exploit niet een gevaar meer
En vergeet niet dat dit mss 1 optie is voor misbruik , maar een derde er nog een uit peutert door die exploit in een andere manier te laten werken dus pure winst

Verwijderd @calvinturbo • 22 juni 2015 20:07

Wat betekent "gedicht" in deze context dan? Het is namelijk helemaal niet zo dat VMWare zichzelf automatisch en geruisloos update. Ik heb eind vorige week gezien dat er een nieuwe versie was, zoals wel vaker het geval is, en uit niets bleek dat het een kritieke update was die een lek dicht. Oftewel kan een gebruiker deze overslaan of er een tijdje mee wachten.

Als ik het niet op Tweakers gelezen had, had ik niet geweten dat er een gapend gat in mijn VM zit. Ondertussen is het lek + exploit code wel al beschikbaar.

En dit is dan "netjes"?

calvinturbo @Verwijderd • 22 juni 2015 21:31

Dat lijkt me een foutje van VMWare

Game_overrr @calvinturbo • 23 juni 2015 15:19

Maar ondertussen post je dus wel exploit code die iedereen kan gebruiken. Je kan ook nooit eens een keer erkennen dat er Google iets doen wat wellicht niet zo handig is, of wel?

SunnieNL

@calvinturbo • 23 juni 2015 06:49

Alleen opgelost in de laatste versie. Als je 10.x hebt ben je verplicht de nieuwe versie te kopen.

Z80 @Loller1 • 22 juni 2015 13:43

lezen is ook een kunst.
er is netjes gewacht tot er een pach beschikbaar was en uitgrold. iedereen heeft de mogelijkheid gehad om te updaten. pas daarna is het lek en exploitcode pas bekend gemaakt.

Loller1 @Z80 • 22 juni 2015 14:04

Er al eens bij nagedacht dat ik het artikel misschien heb gelezen, maar ook er bij nadenk dat lang niet iedereen zomaar even kan updaten? Een lek publiceren, tot daar aan toe, maar er de exploitcode bijgeven? Nee.

calvinturbo @Loller1 • 22 juni 2015 14:06

Kunnen anderen weer van leren en lessen uit trekken

Als iemand trouwens niet kan updaten:

Een systeembeheerder kan er ook voor kiezen om de virtuele printer in de instellingen geheel uit te schakelen, waardoor vprintproxy.exe niet langer in de achtergrond draait.

[Reactie gewijzigd door calvinturbo op 25 juli 2024 19:03]

TheGhostInc @Loller1 • 22 juni 2015 13:55

[...]
Of ze zeggen gewoon dat het product niet meer ondersteund is

Android niet meer ondersteund? En Google heeft net nog 5.0 uitgebracht!

Dat de gemiddelde fabrikant van mobiele chipsets niet verder komt dan het ondersteunen van 1 versie kan moeilijk in de schoenen van Google worden geschoven. Helemaal als ze ook nog alles closed source houden bij de fabrikant.

Loller1 @TheGhostInc • 22 juni 2015 14:06

Ik zie niet waarom je +2 krijgt voor het afkraken van een uit zijn context getrokken zin. Er stond duidelijk:

Of ze zeggen gewoon dat het product niet meer ondersteund is en laten een dikke 650 miljoen gebruikers in de steek (I'm looking at you, Android 4.3).

Dat de gemiddelde fabrikant van mobiele chipsets niet verder komt dan het ondersteunen van 1 versie kan moeilijk in de schoenen van Google worden geschoven. Helemaal als ze ook nog alles closed source houden bij de fabrikant.

Verschillende Windows-systemen bieden officiële ondersteuning voor maar 1 versie van Windows en toch krijgen die allemaal 10 jaar lang updates. Fabrikanten kunnen moeilijk patches uitbrengen als Google die niet uitbrengt for Android 4.3 en lager.

calvinturbo @Loller1 • 22 juni 2015 15:07

De meeste Android OEM's kennende maakt het geen drol uit of er een Android 4.3.9 (security release) zou komen of een Android 5.0 (feature release + security fix). Ze updaten je smartphone toch niet.

Ook snap ik niet waarom je zegt dat gebruikers in de steek laten. Dat doen ze toch écht niet, Android 2.3 ontvangt zelfs nog updates voor Play Services en de Play Store! In Play Services zit een malware-scanner en bepaalde beveiligingsfixes. Niet alles kan via Play Services gepatched worden, maar het is beter dan niks. En vanaf Android 4.1 is ook Chrome ondersteund en die ontvangt ook constant nog beveiligingsupdates. Vanaf Android 5.0 ontvangt Android Webview ook updates waardoor de HTML engine die vele apps gebruiken ook veilig blijft

[Reactie gewijzigd door calvinturbo op 25 juli 2024 19:03]

Froos

22 juni 2015 13:41

Kortom, de bug is al gefixt want een update naar de laatste versie sluit het probleem weer maar we moeten er nog even over janken want "kijk maar, zij doen ook wat fout!". Wat is de zin van deze melding door Google?

Dat nog even los van dat iemand JPEG2000 afbeeldingen print in een VM, dat lijkt me wel redelijk niche werk.

calvinturbo @Froos • 22 juni 2015 14:00

Waar lees je dat ze janken? Ze publiceren gewoon de exploit nadat die gefixed is en er een update uitgebracht is. Transparantie..

Loller1 @calvinturbo • 22 juni 2015 14:37

Een lek publiceren is transparantie, een werkende exploit erbij zetten is afperserij, ongeacht of het lek gedicht is of niet. Hier maken ze alleen maar klanten van VMWare het leven mee zuur.

soulrider @Loller1 • 23 juni 2015 16:47

Het geeft daarnaast beheerders van zulke VM's wel de kans om het zelf te testen of ze vatbaar zijn voor deze exploit of niet.
Eventueel kan er zelfs gezocht worden of men vatbaar is geweest hiervoor.
(als er code of concept wordt gedeeld mag ik aannemen dat er de whitehats op basis daarvan ook detectie algoritmes kunnen ontwikkelen...)
En als ik het goed begrijp is hetafprinten van een jpeg2000-file iets minder niche dan gedacht wordt: wat als je bv een VM gebruikt om veilig/anoniem te surfen en denk lekker veilig een fotootje van een website te kunnen printen?
Diezelfde foto kan dus je host comprimeren via deze exploit en je veiligheid/anonimiteit om zeep helpen...

Bierfustje @Froos • 22 juni 2015 16:54

Dat zal een standaard gebruiker niet doen.
Maar een kwaadwillende kan dit nu 'doen door bewust een kwetsbarheid te misbruiken.

Timoo.vanEsch @Froos • 22 juni 2015 16:59

Nee hoor, simpel.
Als het gastsysteem toegang heeft tot internet, tenminste.
Die printopdracht is eenvoudig als malware te programmeren...

Verwijderd 22 juni 2015 12:53

Is er een reden dat deze functie standaard aan staat?
ik kan me moeilijk voorstellen dat er veel mensen vanuit het gastOS willen gaan printen.

Feanathiel @Verwijderd • 22 juni 2015 12:57

Nou ja, juist vanuit het gast OS. Als je legacy software hebt, die niet op het host OS draait, dan voer je deze software uit vanuit het gast OS. Mocht deze applicatie ook iets willen printen, dan kan dat gewoon.

SF750 @Verwijderd • 22 juni 2015 12:57

Dat kan ik me wel voorstellen. De fysieke printer heeft natuurlijk een fysieke computer nodig. Maar via een (virtuele) Com poort? Het lijkt me dat die gewoon uit te zetten is (ken VM-ware niet zo goed).

Maar goed, het probleem is dus te verhelpen met een update.

Frostbite @Verwijderd • 22 juni 2015 13:05

Dat lijkt me juist wel. Het komt wel eens voor dat ik iets wil printen uit een gastmachine op de standaardprinter van de host.

Als je wat zaken wil doen op nog een oude XP machine (installatie oid) dan is het wel zo handig dat je even snel wat kunt printen zonder dat je weer moet switchen naar je hostcomputer.

ZeRoC00L 22 juni 2015 13:18

En VMWare Workstation 9 / 10, zit het probleem daar ook in, en wordt dat ook gepatched ?

angelina @ZeRoC00L • 22 juni 2015 13:41

Relevant Releases

VMware Workstation prior to version 11.1.1
VMware Workstation prior to version 10.0.6
VMware Player prior to version 7.1.1
VMware Player prior to version 6.0.6
VMware Fusion prior to version 7.0.1
VMware Fusion prior to version 6.0.6

Dus Workstation 9 of lager heeft er geen last van.

[Reactie gewijzigd door angelina op 25 juli 2024 19:04]

biomass

@angelina • 22 juni 2015 14:54

Versions prior to version x - Versies voorafgaand aan versie x.
Je bent kwetsbaar als je niet op genoemde versies zit, of de functionaliteit uitzet.

angelina @biomass • 22 juni 2015 16:14

Check even de desbetreffende pagina: VMware 9.x staat niet in de tabel vermeld.

Kan ook betekenen dat 9.x reeds EOL is maar het artikel heeft het over TPInt.dll en die zie ik niet in mijn VMware 9 folder.

biomass

@angelina • 22 juni 2015 18:03

VMware 9.x staat niet in de tabel, maar Virtual Printing is beschikbaar in VMware Player 3.0 vanaf oktober 2009; VMware Workstation 7 is ook van die datum. Het wel of niet hebben van een dll is geen garantie dat de bewuste code nergens anders is gelinkt

StapelPanda 22 juni 2015 16:19

3/5/2015: initial report sent to security@vmware.com
3/6/2015: VMware Security Response Center acknowledges the receipt of the report
3/12/2015: updated report sent
3/17/2015: VSRC sends the expected timeframe for fixes to be released
3/17/2015: updated report sent
3/18/2015: additional bugs sent to VSRC
4/10/2015: VMware communicates expected date for joint disclosure (6/9)
4/21/2015: VMware assigns 5 CVEs to the issues (CVE-2015-2336 to 2340)
6/9/2015: VMware releases Workstation 11.1.1 for Windows and VMSA-2015-0004

Vooral deze tijdlijn is wel cool om te zien, 12 dagen na opsturen van de bug al een geschat tijdsvak terug sturen en na 1 maand een einddatum stellen.

SampleUser 22 juni 2015 13:09

Google != VMWare?

Google verdient toch geen geld aan fouten in producten van anderen aankaarten?

Rudie_V @SampleUser • 22 juni 2015 13:25

Als ik het me goed herinner heeft google een team beveiligingsonderzoekers die op zoek zijn naar fouten in veelgebruikte software om zo een veiligere digitale wereld te creëren.

DiedX @SampleUser • 22 juni 2015 13:20

Nee, maar maakt het wel een meer veiliger wereld.

sypie @SampleUser • 22 juni 2015 14:53

Google is een bedrijf die op deze manier een goed voorbeeld wil geven. Ze hopen dat andere bedrijven ook de lekken bij Google willen melden. Zo heb je elkaar nodig om de boel wat beter te maken.

Dit staat geheel los van de inhoudelijke business van Google.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: