Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

VMware в четверг опубликовали сообщение о двух обнаруженных  важных уязвимостях, которые затрагивают несколько продуктов этой компании. Первая брешь, отслеживаемая как CVE-2016-5330, представляет собой проблему подмены DLL в VMware Tools для Windows. Уязвимость может быть использована для выполнения произвольного кода на целевой системе.

Об уязвимостях VMware сообщил в прошлом году исследователь и соучредитель голландской фирмы Securify Йорик Костер (Yorick Koster). Костер рассказал, что компания разобралась с этим вопросом в апреле, однако до сих пор подробности не обнародованы, чтобы дать возможность всем пользователям обновиться.

По словам Костера, уязвимость связана с компонентом VMware Host Guest Client Redirector в VMware Tools. Этот компонент используется для функции общих папок, что позволяет пользователям обмениваться файлами между гостевой и операционной системой-хостом.

Исследователь обнаружил, что Client Redirector внедряет DLL под именем vmhgfs.dll. Поскольку DLL загружается из относительного пути, Windows искала его, используя порядок поиска динамически подключаемых библиотек.

Это позволяет злоумышленнику поместить вредоносную DLL в место, откуда он будет загружен до легитимного файла. Если Client Redirector загрузит вредоносную DLL злоумышленник может выполнить произвольный код с привилегиями текущего пользователя, что может привести к полной компрометации системы.

Для того, чтобы атака сработала, злоумышленник должен заставить пользователя открыть документ из расшаренного каталога, содержащего вредоносную DLL. Эксперт также утверждает, что если WebDAV Mini-Redirector был включен, то атака может быть запущена из интернета.

Mini-Redirector – клиент, позволяющий пользователям получить доступ к удаленным ресурсам через интернет, как если бы они были в локальной сети. Злоумышленник может создать свой собственный вредоносный сайт и использовать его для размещения документа и вредоносной DLL. Таким образом, уязвимость можно проэксплуатировать, заманив пользователя на этот сайт и заставив открыть документ.

Koster сказал VMware, что избавиться от уязвимости можно просто проверяя, чтобы DLL была загруженного из абсолютного пути. Эта брешь затрагивает VMware vSphere Hypervisor (ESXi), Workstation Player и Pro и Fusion.

Еще одна уязвимость была раскрыта VMware в четверг и является проблемой подмены заголовка HTTP, затрагивает vCenter Server и ESXi. Недостаток вызван отсутствием проверки входных данных, позволяет злоумышленнику установить произвольные заголовки HTTP и cookies, а также запускать межсайтовый скриптинг (XSS) или вредоносные переадресации.

Уязвимость отслеживается как CVE-2016-5331. О ней было сообщено VMware несколькими исследователями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Упавший сайт сети ВинЛаб обвалил акции компании Novabev

Сайт сети алкомаркетов «ВинЛаб», принадлежащей компании Novabev, перестал работать сегодня. Сбой затронул не только онлайн-канал, но и офлайн-магазины сети. Причины технических неполадок официально не раскрываются. На фоне инцидента акции Novabev упали на 5,5%.

«По техническим причинам временно ограничены возможности покупки онлайн и в магазинах. Наша команда прилагает все усилия для оперативного возобновления работы в полном объеме. Сожалеем о доставленных неудобствах, благодарны нашим покупателям за понимание», — говорится в официальном сообщении пресс-службы «ВинЛаб», которое привёл ТАСС.

Как сообщил телеграм-канал «Т-Инвестиции», падение котировок Novabev на 5,5% напрямую связано с проблемами дочерней компании:

«Причиной такой динамики акций стал неработающий сайт дочерней компании группы — алкомаркета «ВинЛаб». На сайте сообщается, что сеть проводит технические работы, и ресурс пока недоступен для оформления заказов. Также на форуме Smart-lab появился пост, в котором говорится о приостановке работы торговых точек по техническим причинам во всех регионах РФ».

При этом финансовые показатели «ВинЛаб» за 2024 год были одними из лучших в отрасли. Выручка компании выросла на 30%, а чистая прибыль увеличилась в 1,5 раза. По темпам роста «ВинЛаб» опережает большинство конкурентов в сегменте алкоретейла.

Напомним, что в июле 2024 года база данных покупателей «ВинЛаб» оказалась в открытом доступе. Компания подтвердила факт попытки взлома своих систем.

Сбой в работе ВинЛаб

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru