VMware Workstationに深刻な脆弱性 ゲストOSからホストOSへの脱出を可能に：セキュリティニュースアラート

NCC Groupは、VMware Workstationに存在する複数の脆弱性を組み合わせることで、ゲストOSからホストOSへの脱出を可能にする手法を公開した。脆弱性は主にBluetoothとSDP処理に関係し、PoCエクスプロイトも含まれている。

[後藤大地，ITmedia]

　NCC Groupは2025年9月30日（現地時間）、「VMware Workstation」に存在するゲストからホストへの脱出を可能とする脆弱（ぜいじゃく）性チェーンについて、詳細な技術解説と実証コードの開発手順を公開した。メモリリークおよびスタックベースのバッファーオーバーフローを組み合わせることで、ゲスト仮想マシンの攻撃者がホストで任意のコードを実行できる手順を示している。

VMware Workstationに深刻な脆弱性　2段階の攻撃シナリオを解説

　攻撃シナリオは2段階ある。第1段階では仮想Bluetoothおよび関連USB処理の欠陥を突き、ホスト側プロセスからのメモリ情報を漏えいさせる。そこで得た情報を基にアドレス配置の一部を特定し、保護機構の回避に利用する。

　第2段階では「Service Discovery Protocol」処理の実装不備を悪用し、スタック上の境界を超えるデータ書き込みで実行フローを書き換える。漏えい情報とオーバーフローを連結することで、ホスト側でのコード実行が成立することが報告で示されている。

　VMware Workstationの特定の古いバージョンが影響範囲とされている。報告ではCVE-2023-20870、CVE-2023-34044、CVE-2023-20869を扱っており、これらを組み合わせた場合に実用的なゲストからホスト脱出が可能となる点が指摘されている。検証には「Linux」系ゲストから「Windows」系ホストへ接続できたことが紹介されており、PoCエクスプロイトの作成についても触れている。

　対策として公式のセキュリティアップデート適用が推奨されている。該当脆弱性に対し、修正がリリースされていること、古いバージョンを使用中の環境で速やかな更新が求められている。直ちに更新できない場合、ホスト側での仮想Bluetooth共有設定の無効化を実施することで攻撃面を削減できる旨が示されている。ホスト側の検知対策としては「vmware-vmx.exe」プロセスに起因する異常な子プロセス生成やファイルアクセスの監視、EDR（Endpoint Detection and Response）製品やアプリケーション制御の適用が推奨されている。

　同報告の目的は攻撃手法の再現と防御側の評価にある。詳細な技術手順やPoCコードはNCC Groupの公開文書に記載されているため、悪用される可能性がある。利用者および管理者は報告内容を踏まえた迅速な更新の適用と設定変更が望まれる。