VMWare corrige des failles qui pourraient permettre l’évasion de machines virtuelles

Agir maintenant vous donnera presque certainement une longueur d’avance sur les nombreux cybercriminels curieux, étant donné qu’aucun des bogues corrigés dans cette mise à jour ne semble être une faille de sécurité de type « jour zéro ».

Les deux CVE-2022-22040 et CVE-2022-22021 sont annotés avec le commentaire suivant : « un acteur malveillant disposant de privilèges d’administration locaux sur une machine virtuelle peut exploiter ce problème pour exécuter du code en tant que processus VMX de la machine virtuelle fonctionnant sur l’hôte ».

La grande différence dans ce cas est que le logiciel de machine virtuelle est censé permettre à un ordinateur, appelé l’hôte, d’exécuter de nombreuses « machines invitées » qui ignorent la présence des autres, même si elles fonctionnent en fait sur le même matériel.

Par conséquent, tout bogue qui compromet la séparation de la cybersécurité entre les invités et les hôtes, ou même simplement la séparation entre les invités, doit toujours être considéré comme un risque de sécurité sérieux.

En d’autres termes, même si les contrôles généraux de sécurité de votre réseau protègent vos appliances Edge contre les sondes directes provenant d’Internet et que, par conséquent, ce bogue ne peut être déclenché que par des « initiés » du réseau, la liste des initiés disposant d’un accès suffisant pour abuser de ce bogue pourrait être longue.

Si, pour une raison ou une autre, vous ne pouvez pas appliquer de correctif immédiatement, VMWare a publié une solution de contournement temporaire pour empêcher l’exploitation des bogues d’évasion de l’invité vers l’hôte, bien que cela implique de gérer sans support USB dans vos VM d’invités. Bonne mise à jour !

Partagez cet article sur les réseaux sociaux:

Abonnez-vous à l'Infolettre!
Abonnez-vous à notre bulletin mensuel pour rester au fait des principaux risques de cybersécurité.

Les Dernières Nouvelles de Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques de sécurité, lisez le ici en premier:

Faites nous part de vos besoins.
Obtenez une réponse le même jour ouvrable.

Faites nous part de vos besoins. Obtenez une réponse le même jour ouvrable.

Complétez le formulaire suivant et obtenez la réponse d’un expert le prochain jour ouvrable.
Un besoin urgent? Appelez-nous au 1-877-805-7475 ou prenez rendez-vous.
PCI-DSS

Une fois le formulaire envoyé:

  • Nous vous contactons pour connaître vos objectifs
  • Nous travaillons ensemble pour définir la portée du projet.
  • Vous obtenez une soumission tout incluse, sans engagement.

Scroll to Top

PRENEZ RENDEZ-VOUS

Veuillez Entrer
Votre Courriel Corporatif