Sin ruido: ataque vía VGAuth elimina archivos de System32

El investigador Serguéi Blizniuk de Positive Technologies publicó un análisis de vulnerabilidades en el componente VGAuth incluido en VMware Tools, que permiten a un usuario local con bajos privilegios obtener acceso completo de nivel SYSTEM en una máquina virtual con Windows.

VGAuth se encarga de autenticar las acciones del host en nombre de los usuarios del sistema operativo invitado y se utiliza en VMware Workstation, Fusion y ESXi. Funciona a través de pipes con nombre, crea sesiones para cada usuario y permite operaciones con alias de certificados, tickets y tokens SAML. En Windows, VGAuth se ejecuta por defecto con privilegios SYSTEM, lo que lo convierte en un objetivo atractivo para los atacantes.

Se identificaron dos vulnerabilidades críticas en VGAuth:

La primera — CVE-2025-22230 — se relaciona con la ausencia del indicador FILE_FLAG_FIRST_PIPE_INSTANCE al crear un pipe privado. Esto permite al atacante interceptar el pipe antes de que sea creado por el servicio y tomar control de la conexión. La corrección está disponible en VMware Tools 12.5.1.

La segunda — CVE-2025-22247 — se debe a la falta de filtrado de parámetros y verificación de rutas al trabajar con archivos alias. Usando path traversal y enlaces simbólicos, es posible realizar operaciones fuera del directorio asignado, como eliminar o escribir archivos arbitrarios con privilegios SYSTEM. La vulnerabilidad fue corregida en VMware Tools 12.5.2, y los cambios correspondientes están disponibles en el repositorio open-vm-tools.

Se describen dos vectores de explotación:

1. Eliminación de archivos arbitrarios. A través de RemoveAlias, se puede eliminar un archivo fuera de aliasStore si tiene ciertos atributos y pertenece al grupo Administrators. Un ataque clásico TOCTOU permite eliminar, por ejemplo, C:\Config.Msi, lo que abre paso a una escalada de privilegios, como se muestra en el análisis de ZDI.
2. Escritura en archivos arbitrarios. Durante la eliminación parcial de certificados, VGAuth crea un archivo temporal, hace una copia de respaldo y reemplaza el original. Las tres rutas (temporal, backup y archivo alias) pueden redirigirse con enlaces simbólicos preparados, lo que permite escribir DLL u otros payloads en directorios protegidos como C:\Windows\System32 con privilegios heredados SYSTEM.

Ambas vulnerabilidades fueron reveladas de forma responsable a Broadcom en marzo de 2025: la primera el 5 de marzo, la segunda el 12 de mayo. Los desarrolladores las corrigieron mediante la aleatorización de nombres de pipes, el filtrado de caracteres no permitidos en username y la desactivación por defecto de enlaces simbólicos.

Se recomienda encarecidamente a los usuarios actualizar VMware Tools a la versión 12.5.2 o superior. Aunque VGAuth no ejecuta acciones críticas por sí mismo, su rol en la autenticación lo convierte en un potente componente para construir cadenas de escalada de privilegios locales.