Source: blog.nviso.eu (NVISO, Maxime Thiebaut) — NVISO détaille l’exploitation zero‑day de CVE-2025-41244, une élévation de privilèges locale affectant la découverte de services de VMware Tools et VMware Aria Operations, observée in‑the‑wild depuis mi‑octobre 2024 et officiellement divulguée par Broadcom le 29 septembre 2025.
• Vulnérabilité et impact
- La faille (CWE‑426: Untrusted Search Path) provient de la logique du script get-versions.sh (open‑vm‑tools) utilisant des regex trop larges (classe \S) qui peuvent faire correspondre et exécuter des binaires non système (ex. /tmp/httpd) en contexte privilégié.
- Impact: exécution de code avec des privilèges élevés (root) par un utilisateur local non privilégié, dans les deux modes de découverte: credential-based (logique côté Aria Operations) et credential-less (logique dans VMware Tools).
• Produits et composants concernés
- VMware Tools (open‑vm‑tools sur Linux) et VMware Aria Operations via le Service Discovery Management Pack (SDMP).
- Le défaut est confirmé côté open‑vm‑tools pour le mode credential‑less; côté Aria Operations (propriétaire) pour le mode credential‑based.
• Exploitation et attribution
- NVISO a observé l’exploitation zero‑day depuis mi‑octobre 2024; UNC5174 (acteur soutenu par l’État chinois) a été identifié comme déclencheur de l’élévation lors d’engagements IR. NVISO ne conclut pas si l’usage était intentionnel ou accidentel, tant la faille est triviale et liée au mimétisme de binaires système (T1036.005).
- Des preuves de concept illustrent qu’un binaire malveillant portant un nom légitime (ex. httpd) et lancé par un utilisateur non privilégié avec un socket à l’écoute peut être exécuté par le collecteur de métriques/plug-in en contexte privilégié. ⛔
• Détection et artefacts
- Détection: surveillance des processus enfants inhabituels issus de vmtoolsd ou du script get‑versions.sh (exécution de binaires depuis /tmp).
- Artefacts (mode credential‑based): scripts et sorties résiduels sous /tmp/VMware-SDMP-Scripts-{UUID} mentionnant le binaire non système apparié.
• IOCs et TTPs
- IOCs
- Chemins/artefacts: /tmp/httpd, /tmp/VMware-SDMP-Scripts-{UUID}/script_-{ID}_0.sh, sorties stdout/stderr associées.
- Processus/arbres: /usr/bin/vmtoolsd engendrant shells privilégiés via get-versions.sh.
- TTPs
- T1036.005 (Masquerading): imitation de binaires système (httpd, nginx, mysqld, etc.).
- CWE‑426 (Untrusted Search Path): exécution de binaires hors chemins système via regex larges.
- Élévation de privilèges locale; zero‑day exploité in‑the‑wild.
• Timeline
- 2025‑05‑19: Anomalie forensique notée en IR.
- 2025‑05‑21: Anomalie attribuée à un zero‑day inconnu.
- 2025‑05‑25: Vulnérabilité identifiée et reproduite en labo.
- 2025‑05‑27: Divulgation responsable initiée auprès de Broadcom.
- 2025‑06‑18: Embargo étendu jusqu’à octobre.
- 2025‑09‑29: Embargo levé; publication des correctifs et de l’avis.
Conclusion: Article de blog technique visant à documenter une exploitation zero‑day d’une élévation de privilèges dans VMware, avec analyse, artefacts observés, attribution et chronologie de divulgation.
🔗 Source originale : https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/