A Broadcom lançou atualizações de segurança hoje para corrigir uma vulnerabilidade de bypass de autenticação de alta gravidade no VMware Tools para Windows.
O VMware Tools é um conjunto de drivers e utilidades projetados para melhorar o desempenho, gráficos e a integração de sistemas para sistemas operacionais convidados rodando em máquinas virtuais VMware.
A vulnerabilidade (
CVE-2025-22230
) é causada por uma fraqueza de controle de acesso inadequado e foi relatada por Sergey Bliznyuk da Positive Technologies (uma empresa russa de cibersegurança sancionada acusada de traficar ferramentas de hacking).
Atacantes locais com privilégios baixos podem explorá-la em ataques de baixa complexidade que não requerem interação do usuário para obter privilégios altos em VMs vulneráveis.
"Um ator malicioso com privilégios não administrativos em uma VM convidada Windows pode ganhar a capacidade de realizar certas operações de alto privilégio dentro dessa VM", explica a VMware em um aviso de segurança publicado na terça-feira.
No início deste mês, a Broadcom também corrigiu três zero days da VMware (
CVE-2025-22224
,
CVE-2025-22225
e
CVE-2025-22226
), que foram marcados como explorados em ataques e relatados pelo Microsoft Threat Intelligence Center.
Como a empresa explicou na época, atacantes com acesso administrativo privilegiado ou root podem encadear estas vulnerabilidades para escapar do sandbox da máquina virtual.
Dias após o lançamento dos patches, a plataforma de monitoramento de ameaças Shadowserver encontrou mais de 37.000 instâncias VMware ESXi expostas à internet vulneráveis a ataques
CVE-2025-22224
.
Gangs de ransomware e hackers patrocinados pelo estado frequentemente visam vulnerabilidades da VMware, pois os produtos VMware são amplamente utilizados em operações empresariais para armazenar ou transferir dados corporativos sensíveis.
Por exemplo, em novembro, a Broadcom alertou que atacantes estavam explorando duas vulnerabilidades do VMware vCenter Server: uma escalada de privilégios para root (
CVE-2024-38813
) e uma falha crítica de execução remota de código (
CVE-2024-38812
) identificada durante o concurso de hacking Matrix Cup da China em 2024.
Em janeiro de 2024, a Broadcom também divulgou que hackers patrocinados pelo estado chinês usaram uma vulnerabilidade zero-day crítica do vCenter Server (
CVE-2023-34048
) desde o final de 2021 para implantar backdoors VirtualPita e VirtualPie em sistemas ESXi afetados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...