SYSTEM без шума: атака через VGAuth удаляет файлы из System32

vmware tools vgauth lpe windows symlink Positive Technologies PT SWARM
SYSTEM без шума: атака через VGAuth удаляет файлы из System32
vmware tools vgauth lpe windows symlink Positive Technologies PT SWARM

Не дайте локальному юзеру получить SYSTEM: обновите до 12.5.2.

image

Исследователь Сергей Близнюк из Positive Technologies опубликовал разбор уязвимостей в компоненте VGAuth в составе VMware Tools, которые позволяют локальному пользователю с низкими привилегиями получить полный доступ уровня SYSTEM в гостевой Windows-машине.

VGAuth отвечает за аутентификацию действий хоста от имени пользователей гостевой ОС и используется в VMware Workstation, Fusion и ESXi. Он работает через именованные пайпы, создаёт сессии для каждого пользователя, и предоставляет операции с алиасами сертификатов, тикетами и SAML-токенами. На Windows VGAuth запускается по умолчанию с правами SYSTEM, что делает его особенно привлекательной целью для атак.

В реализации VGAuth обнаружены две критические уязвимости:

Первая — CVE-2025-22230 — связана с отсутствием флага FILE_FLAG_FIRST_PIPE_INSTANCE при создании приватного пайпа. Это позволяет атакующему перехватить пайп до его создания службой и получить контроль над соединением. Исправление доступно в VMware Tools 12.5.1 .

Вторая — CVE-2025-22247 — связана с отсутствием фильтрации параметров и проверок путей при работе с alias-файлами. Через path traversal и симлинки возможно выполнение операций вне назначенной директории, включая удаление или запись в произвольные файлы от имени SYSTEM. Уязвимость устранена в VMware Tools 12.5.2 , соответствующие изменения опубликованы в репозитории open-vm-tools .

Описаны два вектора эксплуатации:

  1. Удаление произвольного файла. Через RemoveAlias можно удалить файл вне aliasStore, если он имеет нужные атрибуты и принадлежит группе Administrators. Классическая TOCTOU-атака позволяет удалить, например, C:\Config.Msi, что далее открывает путь к привилегированному исполнению, как описано в анализе ZDI .
  2. Запись в произвольный файл. При частичном удалении сертификатов VGAuth создаёт временный файл, делает резервную копию и затем заменяет оригинальный. Все три пути (временный файл, бэкап и целевой alias-файл) можно подменить через заранее подготовленные симлинки. Это позволяет записать DLL или любой другой payload в защищённую директорию, например C:\Windows\System32, с наследуемыми правами SYSTEM.

Обе уязвимости были ответственно раскрыты Broadcom в марте 2025 года: первая 5 марта, вторая — 12 мая. Разработчики устранили их путём рандомизации имён пайпов, фильтрации недопустимых символов в username и отказа от симлинков по умолчанию.

Пользователям настоятельно рекомендуется обновить VMware Tools до версии 12.5.2 или выше. Несмотря на то, что VGAuth не выполняет критические действия напрямую, его роль в аутентификации делает его уязвимости мощными примитивами в цепочках локального повышения привилегий.