SYSTEM без шума: атака через VGAuth удаляет файлы из System32
NewsMakerНе дайте локальному юзеру получить SYSTEM: обновите до 12.5.2.
Исследователь Сергей Близнюк из Positive Technologies опубликовал разбор уязвимостей в компоненте VGAuth в составе VMware Tools, которые позволяют локальному пользователю с низкими привилегиями получить полный доступ уровня SYSTEM в гостевой Windows-машине.
VGAuth отвечает за аутентификацию действий хоста от имени пользователей гостевой ОС и используется в VMware Workstation, Fusion и ESXi. Он работает через именованные пайпы, создаёт сессии для каждого пользователя, и предоставляет операции с алиасами сертификатов, тикетами и SAML-токенами. На Windows VGAuth запускается по умолчанию с правами SYSTEM, что делает его особенно привлекательной целью для атак.
В реализации VGAuth обнаружены две критические уязвимости:
Первая — CVE-2025-22230 — связана с отсутствием флага
Вторая — CVE-2025-22247 — связана с отсутствием фильтрации параметров и проверок путей при работе с alias-файлами. Через path traversal и симлинки возможно выполнение операций вне назначенной директории, включая удаление или запись в произвольные файлы от имени SYSTEM. Уязвимость устранена в VMware Tools 12.5.2 , соответствующие изменения опубликованы в репозитории open-vm-tools .
Описаны два вектора эксплуатации:
Пользователям настоятельно рекомендуется обновить VMware Tools до версии 12.5.2 или выше. Несмотря на то, что VGAuth не выполняет критические действия напрямую, его роль в аутентификации делает его уязвимости мощными примитивами в цепочках локального повышения привилегий.
Исследователь Сергей Близнюк из Positive Technologies опубликовал разбор уязвимостей в компоненте VGAuth в составе VMware Tools, которые позволяют локальному пользователю с низкими привилегиями получить полный доступ уровня SYSTEM в гостевой Windows-машине.
VGAuth отвечает за аутентификацию действий хоста от имени пользователей гостевой ОС и используется в VMware Workstation, Fusion и ESXi. Он работает через именованные пайпы, создаёт сессии для каждого пользователя, и предоставляет операции с алиасами сертификатов, тикетами и SAML-токенами. На Windows VGAuth запускается по умолчанию с правами SYSTEM, что делает его особенно привлекательной целью для атак.
В реализации VGAuth обнаружены две критические уязвимости:
Первая — CVE-2025-22230 — связана с отсутствием флага
FILE_FLAG_FIRST_PIPE_INSTANCE при создании приватного пайпа. Это позволяет атакующему перехватить пайп до его создания службой и получить контроль над соединением. Исправление доступно в VMware Tools 12.5.1 . Вторая — CVE-2025-22247 — связана с отсутствием фильтрации параметров и проверок путей при работе с alias-файлами. Через path traversal и симлинки возможно выполнение операций вне назначенной директории, включая удаление или запись в произвольные файлы от имени SYSTEM. Уязвимость устранена в VMware Tools 12.5.2 , соответствующие изменения опубликованы в репозитории open-vm-tools .
Описаны два вектора эксплуатации:
- Удаление произвольного файла. Через
RemoveAliasможно удалить файл вне aliasStore, если он имеет нужные атрибуты и принадлежит группе Administrators. Классическая TOCTOU-атака позволяет удалить, например,C:\Config.Msi, что далее открывает путь к привилегированному исполнению, как описано в анализе ZDI . - Запись в произвольный файл. При частичном удалении сертификатов VGAuth создаёт временный файл, делает резервную копию и затем заменяет оригинальный. Все три пути (временный файл, бэкап и целевой alias-файл) можно подменить через заранее подготовленные симлинки. Это позволяет записать DLL или любой другой payload в защищённую директорию, например
C:\Windows\System32, с наследуемыми правами SYSTEM.
username и отказа от симлинков по умолчанию. Пользователям настоятельно рекомендуется обновить VMware Tools до версии 12.5.2 или выше. Несмотря на то, что VGAuth не выполняет критические действия напрямую, его роль в аутентификации делает его уязвимости мощными примитивами в цепочках локального повышения привилегий.