Strafverfolger schalten Geldwäschedienst für Ransomware ab
Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.
Kritische Lücken in VMware-Produkten werden ausgenutzt
5. März 2025 um 10:28
Drei Schwachstellen ermöglichen es, aus virtuellen Maschinen auszubrechen. Broadcom stellt Patches zur Verfügung.
Broadcom warnt seine Kunden vor drei Lücken in VMware-Produkten, die bereits ausgenutzt werden. Die Schwachstellen betreffen VMware ESX-Produkte, einschliesslich ESXi, vSphere, Workstation, Fusion, Cloud Foundation und Telco Cloud Platform.
- Bei CVE-2025-22224 handelt es sich um ein TOCTOU-Problem (Time-of-Check Time-of-Use) im VMCI (Virtual Machine Communication Interface). Sie ist mit einem Schweregrad von 9,3 von 10 möglichen Punkten die kritischste Schwachstelle. Angreifer mit Administratoren-Rechten in einer VM könnten das missbrauchen, um Code im VMX-Prozess auf dem Host auszuführen.
- CVE-2025-22225 ist eine mit 8,2 bewertete Schwachstelle, die beliebige Schreibzugriffe im Kernel ermöglicht. Angreifer mit Rechten im VMX-Prozess können sie ausnützen, um aus der Sandbox auszubrechen.
- CVE-2025-22226 hat ein Schweregrad von 7,1. Angreifer mit Admin-Rechten könnten sie ausnutzen, um Speicherinhalte aus dem VMX-Prozess auszulesen.
Alle drei Lücken werden laut Broadcom bereits ausgenützt. Der Hersteller hat Updates zur Verfügung gestellt, Workarounds gibt es derzeit keine.
Laut dem Hersteller hat Microsoft die Lücken entdeckt und gemeldet. Sie könnten miteinander verkettet werden, um aus einer VM auszubrechen und die vollständige Kontrolle über den Hypervisor und das Host-System zu erlangen. Solche Angriffe sind als Hyperjacking, Hypervisor-Angriff oder VM Escape bekannt.
Durch das Ausbrechen aus der isolierten VM-Umgebung eines Kunden könnte ein Angreifer die Kontrolle über den Hypervisor übernehmen. "Wenn Sie zum Hypervisor entkommen können, können sie auf jedes System zugreifen", zitiert 'Ars Technica' den Security-Forscher Kevin Beaumont.
Um die Schwachstellen ausnutzen zu können, muss ein Angreifer aber über die erforderlichen Berechtigungen (Administrator/Root) auf einem System verfügen. Dies sei kein leichtes Unterfangen, kommentiert der Security-Anbieter Tenable. Dennoch sollten Unternehmen die Patches dringend einspielen.
Tenable geht davon aus, dass in den nächsten Tagen oder Wochen Exploit-Code für diese Schwachstellen auftauchen wird. Auch 'The Register' weist darauf hin, dass Ransomware-Banden wie Black Basta oder Helldown gerne Lücken im Hypervisor von VMware ausnutzen.
Loading
Github verschärft npm-Sicherheitsstandards
Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.
Thurgau sichert sich Fixpreis für VMware-Lizenzen
Der Kanton beschafft für seine virtualisierte Server-Infrastruktur Lizenzen von VMware. Durch die Laufzeit von fünf Jahren will das Amt für Informatik vor Preiserhöhungen geschützt sein.
Servicenow meldet Sicherheitsproblem
Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.