CVE-2025-41244 Schwachstelle: Zero-Day in VMware Tools und Aria aktiv für Privilegieneskalation genutzt
Unmittelbar nach CVE-2025-20352, einer kritischen Cisco IOS- und IOS XE-Schwachstelle, die aktiv in der Wildnis ausgenutzt wird, wird die Cyber-Bedrohungslandschaft erneut durch einen weiteren Zero-Day erschüttert. Als CVE-2025-41244 identifiziert, betrifft diese neu weaponisierte Schwachstelle VMware Tools und VMware Aria Operations, ermöglicht lokale Privilegieneskalation und erlaubt unprivilegierten Benutzern, Code mit Root-Rechten auf betroffenen Systemen auszuführen.
Im Jahr 2025 hat das Schwachstellenmanagement als globale Priorität an Bedeutung gewonnen, da Organisationen mit zunehmenden Cyber-Risiken konfrontiert sind. Weltweit wurden mehr als 35.000 Schwachstellen veröffentlicht, ein Anstieg von 21 % gegenüber dem Vorjahr, was den Druck auf Sicherheitsteams erhöht, Schritt zu halten. Da die Ausnutzung weiterhin der primäre Angriffsvektor ist und Bedrohungsakteure zunehmend ausgefeilte Methoden anwenden, ist proaktive Erkennung entscheidend, um die Angriffsfläche zu reduzieren.
Die Leichtigkeit der Ausnutzung der neu identifizierten VMware Tools- und Aria-Zero-Day-Schwachstelle (CVE-2025-41244) unterstreicht die kritische Bedeutung schneller Patch-Implementierung, sorgfältiger Prozessüberwachung und der Stärkung von Gast-VM-Umgebungen, um vergleichbare Zero-Day-Bedrohungen abzuwehren.
Registrieren Sie sich für die SOC Prime-Plattform, um Zugriff auf erstklassiges Cybersecurity-Fachwissen und KI für unternehmensbereite Cyberabwehr zu erhalten. Die SOC Prime-Plattform bietet kuratierte, kontextreiche Detektionen, die Organisationen dabei unterstützen, Cyberbedrohungen jeder Komplexität zu bewältigen, einschließlich der zunehmenden Anzahl von Zero-Day-Schwachstellen in weit verbreiteter Software. Klicken Sie auf die Schaltfläche Detektionen erkunden, um sofort auf die umfassende Sammlung relevanter Sigma-Regeln gefiltert nach dem „CVE“-Tag zuzugreifen und Angriffe, die bekannte und neue Schwachstellen ausnutzen, vorzubeugen.
Die oben genannten Detektionsalgorithmen zur Erkennung von Schwachstellenausnutzungen sind auf MITRE ATT&CK® abgebildet und mit KI-nativer Bedrohungsintelligenz erweitert, um tiefgehenden Cyberbedrohungskontext bereitzustellen und die Bedrohungsforschung zu beschleunigen. Sigma-Regeln können automatisch in mehrere SIEM-, EDR- und Data-Lake-Formate konvertiert werden, wodurch der Detektion-Engineering-Prozess vereinfacht und die Produktivität des Teams gesteigert wird.
Mit Uncoder AI, einem KI-Copiloten und IDE für Detektion-Engineering, können Sicherheitsteams rohe Bedrohungsinformationen aus Berichten in benutzerdefinierte IOC-Abfragen umwandeln, Angriffsflüsse visualisieren, prägnante Zusammenfassungen oder Entscheidungsbäume erstellen, Detektionsstrategien mit ATT&CK®-ML-basierter Code-Kennzeichnung und unbegrenzter Autovervollständigung optimieren oder Abfragen in der jeweiligen Muttersprache mit KI verbessern. Die neueste Version von Uncoder AI bietet einen KI-Chatbot-Modus und MCP-Tools, die Sicherheitsexperten bei der End-to-End-Verwaltung von Detektion-Engineering-Aufgaben unterstützen.
CVE-2025-41244 Analyse
Verteidiger haben eine neuartige Zero-Day-Schwachstelle zur lokalen Privilegieneskalation in VMware Tools und VMware Aria Operations beobachtet, die aktiv in realen Angriffen ausgenutzt wird. Die kritische Schwachstelle, als CVE-2025-41244, mit einem CVSS-Score von 7,8 verfolgt, betrifft das Service Discovery Management Pack (SDMP) von VMware Tools und VMware Aria Operations und ermöglicht unprivilegierten Benutzern die Ausführung beliebigen Codes mit Root-Rechten.
NVISO-Forscher führten das Problem auf eine Schwäche des Untrusted Search Path (CWE-426) im get-versions.sh-Skript zurück, das zu breite Regex-Muster zur Lokalisierung von Service-Binärdateien verwendet. Ein Angreifer kann eine bösartige Binärdatei in einem beschreibbaren Verzeichnis (z. B. /tmp/httpd) platzieren, die dann vom VMware-Service-Discovery-Prozess mit erhöhten Rechten ausgeführt wird, wodurch vollständiger Root-Zugriff erlangt wird.
Die Schwachstelle betrifft sowohl die kennwortlose Erkennung (über VMware Tools auf Gast-VMs) als auch die legacy-kennwortbasierte Erkennung (über VMware Aria Operations). Forscher bestätigten denselben Fehler in open-vm-tools, das in den meisten Linux-Distributionen enthalten ist.
Die Ausnutzung kann erkannt werden, indem ungewöhnliche Kindprozesse von vmtoolsd oder get-versions.sh überwacht oder zurückgelassene Skriptdateien in /tmp/VMware-SDMP-Scripts-{UUID}/ inspiziert werden.
Im ersten Quartal 2024 demonstrierten APT-Gruppen, die mit China, Nordkorea, Iran und Russland in Verbindung stehen, zunehmend fortschrittliche und innovative Taktiken in Cyber-Spionageoperationen, indem sie Schwachstellen in weit verbreiteten Technologien wie VMware ausnutzten. Beispielsweise hat die China-nexus UNC3886-Gruppe 2024 aktiv ein umfangreiches Toolkit bösartiger Techniken einschließlich Zero-Day-Exploits in VMware und Fortinet eingesetzt.
Die fortgesetzte Ausnutzung von CVE-2025-41244 in der Wildnis wird UNC5174 zugeschrieben, einer mutmaßlich von China unterstützten Gruppe, die bekannt dafür ist, öffentliche Exploits in Initial-Access-Operationen zu verwenden.
Als mögliche Maßnahmen zur Abschwächung von CVE-2025-41244 hat Broadcom Patches veröffentlicht und empfiehlt sofortige Updates, um das Risiko einer Ausnutzung zu minimieren. Weitere Empfehlungen umfassen die Überwachung anomaler Kindprozesse von vmtoolsd oder Aria SDMP, die Einschränkung des Schreibzugriffs auf risikoreiche Verzeichnisse und die Begrenzung der Gast-VM-Konnektivität auf interne Netzwerke, um Einbruchsrisiken zu reduzieren.
Um Organisationen dabei zu helfen, neue Bedrohungen rechtzeitig zu erkennen und fortschrittliche Angriffe proaktiv zu verhindern, können Sicherheitsteams auf das unternehmensbereite Produktportfolio von SOC Prime vertrauen, unterstützt durch Top-Expertise und modernste Technologien, die KI, Automatisierung und Echtzeit-Bedrohungsinformationen für zukunftssichere Cyberabwehr kombinieren.
