VMware Workstation の脆弱性 CVE-2023-20869/20870/34044 に対する PoC:NCC Group 研究者が公開

PoC exploit Released for VMware Workstation guest-to-host escape Vulnerability

2025/10/02 CyberSecurityNews — VMware Workstation に存在する、深刻な脆弱性 CVE-2023-20869/CVE-2023-20870/CVE-2023-34044 の連鎖に対する PoC エクスプロイトが、NCC Group のセキュリティ研究者 Alexander Zaviyalov により公開された。この PoC を悪用する攻撃者は、ゲスト仮想マシンからエスケープし、ホスト OS 上で任意のコードを実行できる。

このエクスプロイトは、情報漏洩とスタックバッファ・オーバーフローという2つの脆弱性を巧妙に連鎖させることで、仮想化ソフトウェアにおける最も深刻な欠陥とも言える、ゲストからホストへの完全なエスケープを実現する。対象は 2023 年のバンクーバー Pwn2Own で実証された脆弱性であり、先日に Zaviyalov が公開したのは、詳細な技術解説および機能的な PoC である。

攻撃の概要

ゲストからホストへのエスケープは、VMware Workstation の仮想 Bluetooth デバイス機能に存在する、2つの脆弱性を連鎖させることで再現される。この機能はゲスト VM がホストの Bluetooth アダプターを利用できるようにするものであり、デフォルトで有効化されている。

CVE-2023-20870/CVE-2023-34044 情報漏洩の脆弱性

攻撃の第一段階では、解放後メモリ使用 (use-after-free) によるメモリ・リークが悪用される。細工された USB Request Block (URB) の制御を、仮想マウスや Bluetooth デバイスに送信する攻撃者は、ホスト上の vmware-vmx.exe プロセスからのメモリ・ポインタの漏洩を可能にする。

エクスプロイトの悪用を困難にする、標準的なセキュリティ機能 ASLR (Address Space Layout Randomization) を回避するために、この情報漏洩は不可欠である。

Exploit

CVE-2023-20869 バッファオーバーフローの脆弱性

ASLR を回避した攻撃者は第二段階に進む。ホスト上で検出が可能な別の Bluetooth デバイスへ向けて、ゲスト VM から悪意の SDP (Service Discovery Protocol) パケットを送信することで、スタックバッファ・オーバーフローを引き起こす。このオーバーフローにより攻撃者はプログラムの実行フローを乗っ取り、事前に漏洩させたメモリ・アドレスを用いてホスト・システム上でカスタム・ペイロードを実行できる。

これらの脆弱性を組み合わせれば、ゲスト VM を制御できる攻撃者がホスト・マシンの完全な制御を奪取できる。Alexander Zaviyalov のエクスプロイト・デモでは、Linux ゲストからのリクエストにより、完全にパッチが適用されている Windows 11 ホスト上でリバースシェルが確立され、基盤となるシステムの侵害が実証された。

このエクスプロイト・チェーンが影響を及ぼす範囲は、主に VMware Workstation 17.0.1 以下のバージョンである。それぞれの脆弱性は、個別のパッチ適用スケジュールで対処されている。

  • バッファ・オーバーフローの脆弱性:CVE-2023-20869 はバージョン 17.0.2 で修正済みである。
  • メモリ・リークの脆弱性:CVE-2023-20870 は 17.0.2 で、CVE-2023-34044 は 17.5.0 でそれぞれ修正済みである。

完全な悪用にはバッファ・オーバーフローとメモリ・リークの双方が必要であるため、バージョン 17.0.1 以下を使用するユーザーが、最も高リスクにさらされている。

緩和策

ユーザーに対して強く推奨されるのは、VMware Workstation ソフトウェアを最新バージョンである 17.5.0 以降に更新することである。このバージョンには、3つの脆弱性に対する修正が含まれている。

迅速な更新が不可能なユーザーのための暫定的な回避策は、仮想 Bluetooth デバイスを無効化することだ。そのためには、仮想マシンの USB Controller 設定で、”Share Bluetooth devices with the virtual machine” のチェックを外すことが必要となる。この機能を無効化すれば、PoC で悪用される攻撃対象領域が排除される。

この調査結果が示すのは、現代のエクスプロイトの複雑さである。それが強調するのは、仮想化プラットフォームに対するタイムリーなパッチ適用の重要性である。

VMware Workstation の仮想デバイスを経由した場合の信頼境界の脆弱さと、メモリ安全性の欠如を実証する、PoC が登場しました。具体的には、Bluetooth 周りの use-after-free による情報漏えいで ASLR の回避が可能になり、その後の SDP 処理でのスタックバッファ・オーバーフローにより、実行フローの乗っ取りに至るというものです。それに加えて、Bluetooth 仮想デバイス共有が、デフォルトで有効化されていることで攻撃領域が広がっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、VMware Workstation で検索も、ご参照ください。