Investigadores de seguridad han identificado vulnerabilidades críticas en el Servicio de Autenticación de Invitados (VGAuth) de VMware Tools. Estas fallas permiten a atacantes escalar privilegios desde cualquier cuenta de usuario a acceso completo de SISTEMA en máquinas virtuales Windows.
Las vulnerabilidades, designadas como CVE-2025-22230 y CVE-2025-22247, afectan a VMware Tools versiones 12.5.0 y anteriores. Esto incluye entornos administrados por ESXi e implementaciones independientes de VMware Workstation.
Omisión de Autenticación (CVE-2025-22230)
La primera vulnerabilidad radica en un defecto fundamental en el mecanismo de autenticación de canalización con nombre de VGAuth. El servicio crea nombres de canalizaciones predecibles, con el formato \\.\pipe\vgauth-service-<nombre de usuario>, sin utilizar el indicador FILE_FLAG_FIRST_PIPE_INSTANCE. Esto permite a los atacantes crear previamente estas canalizaciones con controles de acceso permisivos.
Al establecer una canalización con el nombre vgauth-service-system antes que el servicio legítimo, los atacantes pueden interceptar sesiones de autenticación e impersonar la cuenta NT AUTHORITY\SYSTEM. Esto les otorga privilegios de superusuario inmediatos dentro del protocolo VGAuth, eludiendo las restricciones de seguridad esperadas.
Validación Insuficiente de Entrada (CVE-2025-22247)
La segunda vulnerabilidad explota una validación de entrada insuficiente en las operaciones de alias store. Los atacantes pueden inyectar secuencias de recorrido de ruta, como ../../../../../../evil, en los parámetros del nombre de usuario. Esto les permite salir del directorio de alias store previsto y apuntar a archivos de sistema arbitrarios.
Combinado con técnicas de manipulación de enlaces simbólicos de Windows, esto genera potentes primitivas de ataque. Los investigadores demostraron dos vías de explotación:
- Eliminación arbitraria de archivos: Mediante la operación
RemoveAlias. Esto puede dirigirse a directorios críticos del sistema comoC:\Config.Msi, facilitando técnicas conocidas de escalada de privilegios de Windows Installer. - Escritura arbitraria de archivos: Mediante la reescritura del alias store. Esto permite a los atacantes colocar archivos DLL maliciosos en ubicaciones privilegiadas con ACL permisivas heredadas, facilitando ataques de secuestro de DLL para la ejecución de código como SISTEMA.
Ambas técnicas aprovechan los ataques de Tiempo de Verificación/Tiempo de Uso (TOCTOU) utilizando bloqueos oportunistas para sincronizar con precisión el cambio del objetivo del enlace simbólico.
Mitigación y Recomendaciones
Broadcom ha abordado ambas vulnerabilidades a través de actualizaciones de seguridad.
- CVE-2025-22230 fue mitigada aleatorizando los nombres de las canalizaciones e implementando los indicadores de primera instancia adecuados.
- CVE-2025-22247 recibió correcciones más completas, incluyendo validación de rutas, verificación de rutas en tiempo de ejecución y una nueva opción de configuración
enableSymlinks(deshabilitada por defecto).
Es imperativo que las organizaciones actualicen inmediatamente a VMware Tools 12.5.2 o versiones posteriores. Estas vulnerabilidades afectan la instalación predeterminada de VMware Tools en Windows, lo que hace que casi todas las máquinas virtuales Windows en entornos VMware sean potencialmente explotables por usuarios locales que buscan una escalada de privilegios.
Dada la amplia implementación de VGAuth y la gravedad de estas fallas, los administradores deben priorizar los esfuerzos de parcheo para prevenir posibles compromisos del sistema a través de estos vectores de ataque bien documentados.
