VMware Tools の脆弱性 CVE-2025-22230/22247 が FIX:認証バイパスによる SYSTEM 権限の乗っ取りの可能性

Critical VMware Tools VGAuth Vulnerabilities Enable Full System Access for Attackers

2025/07/25 CyberSecurityNews — VMware Tools の VGAuth (VMware Guest Authentication Service) コンポーネントに存在する、2つの深刻な脆弱性を悪用するローカル攻撃者は、Windows 仮想マシン上で任意のユーザー・アカウントから SYSTEM 権限を取得する可能性を手にする。これらの脆弱性 CVE-2025-22230/CVE-2025-22247 が影響を及ぼす範囲は、スタンドアロンの VMware Workstation デプロイメントおよび ESXi 管理環境における、VMware Tools のインストールとなる。

重要なポイント
  • VMware Tools VGAuth の脆弱性により、ローカルユーザーが Windows VM 上で SYSTEM 権限を取得可能。
  • 名前付きパイプの乗っ取りおよびパス・トラバーサルにより、権限昇格が可能。
  • VMware Tools のバージョン 12.5.1 以上への速やかなアップデートが必要。
CVE-2025-22230: 認証バイパス脆弱性

この脆弱性は、VGAuth の名前付きパイプ実装における設計上の欠陥に起因し、事前作成攻撃によって認証をバイパス可能となる。

脆弱性を報告した PT SWARM によると、VGAuth サービスでは、FILE_FLAG_FIRST_PIPE_INSTANCE フラグが設定されず、また、予測可能な形式 “\\.\pipe\vgauth-service-<username>” に従ってユーザーごとのプライベート・パイプを作成されていた。そのため、低権限の攻撃者であっても、サービスによる作成に先行して、同名の悪意のパイプを作成できる設計となっていた。

セキュリティ研究者 Sergey Bliznyuk が実証したのは、この脆弱性を悪用する攻撃者が、アクセス制御が緩い “\\.\pipe\vgauth-service-system” に対して名前付きパイプを作成する手法である。VGAuth サービスが SYSTEM 認証用のパイプを作成しようとする際に、すでに攻撃者により作成されているパイプが誤って使用され、その結果として、VGAuth プロトコル内でスーパーユーザー権限が付与されることになる。

SYSTEM として認証された後に攻撃者は、証明書エイリアス・ストア/チケット検証メカニズム/SAML 認証トークンなどへのアクセスを達成し、権限昇格へといたる可能性を得る。

CVE-2025-22247: パス・トラバーサル脆弱性

この脆弱性は、VGAuth のエイリアス・ストア管理機能における、不十分な入力検証に起因する。QueryAliases/RemoveAlias 操作は、サニタイズされていないユーザー名パラメータを受け入れるため、”../../../../../../evil” のような文字列により “C:\ProgramData\VMware\VMware VGAuth\aliasStore” ディレクトリからの脱出が達成され、パス・トラバーサル攻撃が可能になるという。

さらに攻撃者は、シンボリックリンク操作と TOCTOU (Time-of-check to time-of-use) 攻撃を組み合わせることで、任意のファイルの削除/書込を達成する。

ジャンクション・マウント・ポイントと DOS デバイス・シンボリック・リンクに加えて、Opportunistic Locks を正確なタイミング制御することで、攻撃者はファイル操作を “C:\Windows\System32” などの特権システム・ロケーションへとリダイレクし、その結果として、DLL ハイジャックによるシステム・レベルでのコード実行を可能にする。

CVETitleCVSS 3.1 ScoreSeverityAffected VersionPatched Version
CVE-2025-22230Authentication bypass via named pipe hijacking7.8HighVMware Tools 12.5.0VMware Tools 12.5.1
CVE-2025-22247Path traversal and insecure link resolution6.1MediumVMware Tools 12.5.0VMware Tools 12.5.2
パッチのリリース状況

2025 年初頭の時点で、これらの脆弱性に関する責任ある開示を受けた Broadcom は、協調的なセキュリティ更新プログラムを通じて修正を行っている。

  • CVE-2025-22230 2025年3月25日リリースの、VMware Tools 12.5.1 において修正された。このバージョンでは、UUID サフィックス付きのランダムなプライベート・パイプ名を採用し、FILE_FLAG_FIRST_PIPE_INSTANCE フラグを適用することで、ハイジャック攻撃を防止している。
  • CVE-2025-222472025年5月12日リリースの、VMware Tools 12.5.2 において修正された。この修正には、安全が確保されないでパス・トラバーサル文字を取り込むユーザー名を拒否する入力検証や、GetFinalPathNameByHandleW による実行時パス検証、新しいコンフィグ・フラグ allowSymlinks (デフォルト: false) の導入が含まれている。
推奨対応

Windows ゲスト環境で VMware Tools を使用している、すべての組織に対して強く推奨されるのは、VMware Tools の最新版へと速やかにアップグレードし、これら深刻な脆弱性によるリスクを軽減することである。

VMware Tools の VGAuth コンポーネントの設計ミスが原因で、簡単に SYSTEM 権限を盗まれてしまうという脆弱性が発見されました。特に、名前付きパイプの扱いが甘く、先回りして偽のパイプを作られると、認証バイパスにいたるとされます。ご利用のチームは、十分に ご注意ください。よろしければ、VMware で検索も、ご参照ください。