A VMware emitiu uma importante atualização de segurança para corrigir quatro vulnerabilidades que foram exploradas como zero-days durante o prestigiado concurso de hacking Pwn2Own Berlin 2025, que decorreu em maio. Três das falhas são de severidade crítica, permitindo que um atacante assuma o controlo do sistema anfitrião a partir de uma máquina virtual.
Três vulnerabilidades críticas abrem portas ao controlo total
Com uma classificação de severidade de 9.3 (numa escala de 10), as falhas mais graves permitem que programas a correr numa máquina virtual convidada executem código diretamente no sistema anfitrião, um dos piores cenários em ambientes virtualizados.
As vulnerabilidades, detalhadas no aviso de segurança oficial da Broadcom, são as seguintes:
CVE-2025-41236: Uma vulnerabilidade de integer-overflow no adaptador de rede virtual VMXNET3, presente no VMware ESXi, Workstation e Fusion. Foi explorada com sucesso por Nguyen Hoang Thach da STARLabs SG.
CVE-2025-41237: Uma falha de integer-underflow na Interface de Comunicação de Máquina Virtual (VMCI) que leva a uma escrita de dados fora dos limites (out-of-bounds write). Foi demonstrada por Corentin BAYET da REverse Tactics.
CVE-2025-41238: Um heap-overflow no controlador Paravirtualized SCSI (PVSCSI) que também resulta numa escrita fora dos limites. Um atacante com privilégios administrativos na máquina virtual pode usar esta falha para executar código no processo VMX da máquina virtual no anfitrião. Foi utilizada por Thomas Bouzerar e Etienne Helluy-Lafont da Synacktiv.
Quarta falha usada para roubo de informação
A quarta vulnerabilidade, registada como CVE-2025-41239, tem uma classificação de 7.1 e consiste numa falha de divulgação de informação. Foi também descoberta por Corentin BAYET, que a utilizou em conjunto com a CVE-2025-41237 durante o seu ataque bem-sucedido no concurso.
Atualização é urgente e não existem alternativas
A VMware informa que não existem soluções de contorno para mitigar estas vulnerabilidades, tornando a instalação das novas versões do software a única forma de proteção. É crucial notar que a falha CVE-2025-41239 afeta as VMware Tools para Windows, que requerem um processo de atualização diferente.
As vulnerabilidades foram demonstradas no evento Pwn2Own Berlin 2025, onde investigadores de segurança arrecadaram um total de 1.078.750 dólares após explorarem 29 falhas zero-day em diversos produtos.
Nenhum comentário
Seja o primeiro!