Une vulnérabilité critique dans VMware Tools permet des attaques locales sur des machines virtuelles sous Windows
Broadcom a annoncé ce mardi la publication d’une mise à jour de sécurité visant à corriger une vulnérabilité sérieuse de contournement d’authentification dans VMware Tools pour Windows. Cette suite est essentielle pour améliorer les performances et l’intégration des systèmes d’exploitation invités dans les machines virtuelles (VM) utilisant la technologie VMware.
La vulnérabilité, désignée sous le nom de CVE-2025-22230, résulte d’une faiblesse dans le contrôle d’accès et a été signalée par Sergey Bliznyuk, un chercheur de Positive Technologies, une entreprise russe sous sanction pour supposément avoir commercialisé des outils de piratage.
D’après l’avertissement de sécurité publié par VMware, désormais propriété de Broadcom, un attaquant avec des privilèges limités sur une VM Windows pourrait exploiter cette faille pour réaliser des opérations qui exigeraient normalement des privilèges élevés au sein de la même machine virtuelle.
« Un acteur malveillant avec des privilèges non administratifs sur une VM Windows peut exécuter certaines opérations avec des privilèges élevés dans cette VM », a précisé Broadcom dans son communiqué.
Risque d’escalade de privilèges locales sans interaction utilisateur
La faille peut être exploitée via des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur, représentant ainsi une menace significative pour les environnements d’entreprise utilisant une infrastructure virtualisée. Bien que le vecteur d’attaque soit local, son impact est considérable, car il permettrait à un attaquant interne ou avec un accès limité de compromettre entièrement le système d’exploitation invité.
Un historique récent de vulnérabilités critiques chez VMware
Ce nouvel avis de sécurité survient quelques semaines après que Broadcom a corrigé trois vulnérabilités zero-day dans VMware (CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226), identifiées lors de campagnes actives et signalées par le Microsoft Threat Intelligence Center. Dans ce cas, des attaquants avec des privilèges administratifs ou root pouvaient enchaîner les failles pour échapper à l’environnement de la machine virtuelle, compromettant ainsi l’hôte ou l’environnement de virtualisation.
La plateforme de surveillance Shadowserver a rapidement identifié plus de 37 000 instances de VMware ESXi exposées à Internet et vulnérables à la CVE-2025-22224, soulignant l’ampleur du problème.
Cible privilégiée des groupes criminels et des acteurs étatiques
Les solutions VMware sont largement utilisées dans les environnements d’entreprise, ce qui en fait une cible de choix pour les groupes de ransomware et les acteurs soutenus par des États. En novembre 2024, Broadcom avait déjà mis en garde contre l’exploitation active de deux vulnérabilités critiques dans vCenter Server, découvertes lors d’un concours de hacking en Chine.
De plus, en janvier 2024, il a été révélé que des groupes liés à la Chine avaient exploitée une vulnérabilité zero-day dans vCenter Server (CVE-2023-34048) depuis fin 2021 pour déployer les portes dérobées VirtualPita et VirtualPie sur des serveurs ESXi compromis.
Recommandations
Broadcom recommande à tous les administrateurs système et responsables de la sécurité de mettre à jour immédiatement VMware Tools pour Windows vers la dernière version disponible. Dans les environnements sensibles, il est également conseillé de vérifier les journaux d’activité des machines virtuelles et d’appliquer des mesures supplémentaires de contrôle d’accès interne.
La société rappelle que le maintien à jour des environnements virtualisés est essentiel pour prévenir des incidents graves et éviter de devenir la cible d’attaques cybernétiques sophistiquées.
Pour plus d’informations et des détails techniques concernant la faille, rendez-vous sur la page des avis de sécurité de VMware.
