Comme à mon habitude, après une brève description, je vous livrerai dans les liens un "Proof of Concept".

Cette nouvelle vulnérabilité trouvée par l'équipe de recherche en sécurité GOODFELLAS et par un certain callAX, affecte l'outil de virtualisation VMWare Workstation 5.5.3.
Un contrôle activeX livré avec VMWare permet l'écriture de fichiers arbitraire, dans le contexte de l'application l'utilisant (Internet Explorer), sur votre disque dur, pouvant entraîner un DoS (Deny de Service), mais d'autres exploitations sont aussi possibles.

La DLL en cause est : IntraProcessLogging.dll, la méthode SetLogFileName ne vérifie pas si elle est appelée par l'application ou par un utilisateur mal-intentionné. Une attaque distante consiste donc à vous inviter à suivre un lien vers une page HTML spécialement conçu afin d'écrire un (plusieurs) fichier(s) arbitrairement sur votre disque dur.

Le Proof Of Concept ICI : va écrire à la racine de votre disque dur c: un fichier nommé arbitrary_file.txt, si vous naviguez sur cette page depuis un Internet Explorer lancé à partir d'une VMWare Workstation 5.5.3.
Il s'agit là du "Proof of Concept" tel que fournit par l'équipe GOODFELLAS, je n'en suis pas l'auteur !

Afin d'éviter ce genre d'ennui lorsque vous surfez sur le Net depuis une Vmware, l'équipe GOODFELLAS conseille donc de :

  1. Activate the Kill bit zero in clsid:AF13B07E-28A1-4CAC-9C9A-EC582E354A24
  2. Unregister IntraProcessLogging.dll using regsvr32.


J'ajouterais aux recommandations de Goodfellas les recommandations suivantes :

  • Ne suivez jamais un lien reçu par email si vous n'êtes pas sûr de l'emetteur
  • Même dans vos machines virtuelles, utilisez Firefox avec l'extension "NoScript"


Liens relatifs à cette info :

Firefox
VMWare