Vulnerabilidades Críticas en VMware Tools para Windows

Parche disponible para remediación

Lucas Gagliardo

Según un comunicado emitido por el fabricante VMware el 2022-05-27, se detectó la vulnerabilidad CVE-2022-22977


Se ha notificado de forma privada a VMware una vulnerabilidad de entidad externa XML (XXE) en VMware Tools para Windows. Hay actualizaciones disponibles para remediar esta vulnerabilidad en los productos VMware afectados.


El objetivo de este documento es informar al lector sobre la amenaza encontrada y como aplicar las contramedidas para mitigarla. 


Vectores de ataque conocidos

Un actor malintencionado con privilegios de usuario local en Windows, donde está instalado VMware Tools, puede aprovechar este problema para provocar una condición de denegación de servicio o una divulgación de información no intencionada.

 

Resolución

Para remediar CVE-2022-22977, aplique el parche mencionado en la columna "Fixed version" de la matriz que se encuentra a continuación:

 

Producto
Version
SO
CVE
CVSSv3
Severidad
Fixed Version
VMwareTools for Windows
12.0.0/11.x.y/10.x.y
Windows
CVE-2022-22977
5.8
Moderado
12.0.5

Enlaces de referencia

VMware Tools 12. 05 Release Notes

Clasificación de vulnerabilidad según VMware

Glosario

¿Qué es VMSA? La sigla VMSA representa VMware Security Advisory y forma parte de VMWare Security Solutions. Su misión es documentar remediaciones para las vulnerabilidades de seguridad reportadas en los productos de VMware. Una vez recibido los reportes o detectadas por el fabricante, se notifican, se asigna un identificador CVE y se asigna un puntaje CVSS.


¿Qué es CVE? Common Vulnerabilities and Exposures es una base de datos de vulnerabilidades que son públicamente conocidas. Su supervisión corre por cuenta de MITRE Corporation, con asistencia financiera de la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de Estados Unidos. En este caso, a las vulnerabilidades que se registran en en esta base, a su vez, se les asigna un score conforme a CVSS para poder identificar la complejidad de la vulnerabilidad y poder gozar de un criterio más exacto a la hora de la toma de decisiones.


¿Qué es CVSS? Es un estándar abierto bajo dominio de FIRST. CVSS representa “Common Vulnerability Score System” que, como su nombre indica, es un sistema de puntaje para estimar el impacto que pueden llegar a implicar las vulnerabilidades. A la hora de determinar qué nivel de riesgo puede determinar una amenaza se emplea una escala que se establece entre el 0 y 10.

En base a esto se establece tres niveles de riesgo:


  • Severidad baja: 0.0 - 3.9

  • Severidad media: 4.0 - 6.9

  • Severidad alta: 7.0 - 10.0