تم العثور على ثغرة يوم الصفر في VirtualBox

يوم الصفر

مؤخرا أصدر باحث روسي تفاصيل ثغرة يوم الصفر في VirtualBox يسمح للمهاجمين بالخروج من الجهاز الظاهري لتنفيذ تعليمات برمجية ضارة على نظام التشغيل المضيف.

اكتشف الباحث الروسي سيرجي زيلينيوك ثغرة يوم الصفر تؤثر بشكل مباشر على الإصدار 5.2.20 من Virtual Box، وكذلك الإصدارات السابقة.

تم الكشف عن هذه الثغرة الأمنية سيسمح للمهاجم بالهروب من الآلة الافتراضية (نظام تشغيل الضيف) وانتقل إلى Ring 3 ، بحيث يمكنك من هناك الاستفادة من التقنيات الحالية لتصعيد الامتيازات والوصول إلى نظام التشغيل المضيف (kernel أو ring 0).

وفقًا للتفاصيل الأولية للكشف ، فإن المشكلة موجودة في قاعدة بيانات مشتركة لبرنامج المحاكاة الافتراضية ، والمتاحة على جميع أنظمة التشغيل المدعومة.

حول ثغرة Zero-Day التي تم اكتشافها في VirtualBox

وفقًا لملف نصي تم تحميله على GitHub، الباحث المقيم في سانت بطرسبرغ سيرجي زيلينيوك ، سلسلة من الأخطاء التي قد تسمح للهروب من التعليمات البرمجية الضارة من الجهاز الظاهري VirtualBox (نظام التشغيل الضيف) ويعمل على نظام التشغيل الأساسي (المضيف).

بمجرد الخروج من VirtualBox VM ، يتم تشغيل التعليمات البرمجية الضارة في مساحة المستخدم المحدودة لنظام التشغيل.

قال زيلينيوك: "الثغرة موثوقة بنسبة 100٪". "هذا يعني أنه يعمل دائمًا أو لا يعمل أبدًا بسبب ثنائيات غير متطابقة أو أسباب أخرى أكثر دقة لم آخذها في الاعتبار."

الباحث الروسي يقول أن Zero-day يؤثر على جميع الإصدارات الحالية من VirtualBox ، فهو يعمل بغض النظر عن نظام التشغيل المضيف أو الضيف أن المستخدم قيد التشغيل ، وموثوق به مقابل الإعدادات الافتراضية للأجهزة الافتراضية المنشأة حديثًا.

سيرجي زيلينيوك ، في خلاف تام مع استجابة Oracle لبرنامج مكافأة الأخطاء و "التسويق" الحالي للثغرات الأمنية ، نشر أيضًا مقطع فيديو مع PoC يظهر 0 يوم من العمل ضد جهاز Ubuntu الظاهري الذي يعمل داخل VirtualBox على نظام تشغيل مضيف أيضًا من Ubuntu.

يُظهر Zelenyuk تفاصيل عن كيفية استغلال الخطأ على الأجهزة الافتراضية التي تم تكوينها مع محول الشبكة "Intel PRO / 1000 MT Desktop (82540EM)" في وضع NAT. إنه الإعداد الافتراضي لجميع أنظمة الضيف للوصول إلى الشبكات الخارجية.

كيف تعمل الثغرة الأمنية

وفقًا للدليل الفني الذي قدمته Zelenyuk ، محول الشبكة ضعيف ، مما يسمح للمهاجم الذي لديه امتياز الجذر / المسؤول بالهروب إلى حلقة المضيف 3. بعد ذلك ، باستخدام التقنيات الحالية ، يمكن للمهاجم تصعيد امتيازات Ring - عبر / dev / vboxdrv.

“يحتوي [Intel PRO / 1000 MT Desktop (82540EM)] على ثغرة تسمح للمهاجم الذي لديه امتيازات المسؤول / الجذر على الضيف بالهروب إلى حلقة المضيف 3. يمكن للمهاجم بعد ذلك استخدام التقنيات الحالية لزيادة الامتيازات للاتصال بالرقم 0 عبر / dev / vboxdrv "، كما يصف Zelenyuk في ورقته البيضاء الثلاثاء.

زيلينيوك يقول أحد الجوانب المهمة لفهم كيفية عمل الثغرة الأمنية هو فهم أن المقابض تتم معالجتها قبل واصفات البيانات.

يصف الباحث الآليات الكامنة وراء الخلل الأمني ​​بالتفصيل ، موضحًا كيفية تشغيل الشروط اللازمة للحصول على تجاوز سعة المخزن المؤقت الذي يمكن إساءة استخدامه للهروب من قيود نظام التشغيل الافتراضي.

أولاً ، تسبب في حدوث حالة نقص في التدفق لعدد صحيح باستخدام واصفات الحزمة - مقاطع البيانات التي تسمح لمحول الشبكة بتتبع بيانات حزم الشبكة في ذاكرة النظام.

تم استغلال هذه الحالة لقراءة البيانات من نظام التشغيل الضيف إلى مخزن مؤقت لكومة الذاكرة المؤقتة وتسبب في حالة تجاوز السعة التي قد تؤدي إلى الكتابة فوق مؤشرات الوظيفة ؛ أو التسبب في حالة تجاوز سعة المكدس.

يقترح الخبير أن يخفف المستخدمون من المشكلة عن طريق تغيير بطاقة الشبكة في أجهزتهم الافتراضية إلى AMD PCnet أو محول شبكة شبه افتراضي أو عن طريق تجنب استخدام NAT.

"حتى يتم تشغيل إصدار VirtualBox المصحح ، يمكنك تغيير بطاقة الشبكة الخاصة بأجهزتك الافتراضية إلى PCnet (إما واحد) أو شبكة Paravirtualized.


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

2 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   ام في ار 1981 قال

    متقدم للغاية وتقني لعقلي ... بالكاد أفهم ربع المصطلحات التي يستخدمها.

  2.   غييرمو قال

    حسنًا ، المشكلة الرئيسية هي أن العديد من مستخدمي Linux يستخدمون VirtualBox للحصول على Windows ، واتضح أن Windows 7 لا يحتوي على برنامج تشغيل للبطاقات التي ينصح الخبير بوضعها ، والأسوأ من ذلك ، إذا كنت تبحث عن برنامج تشغيل PCnet عبر الإنترنت ، يظهر ذلك إذا قمت بتحليله باستخدام virustotal أو أي شيء آخر ، فستحصل على 29 إيجابيًا من الفيروسات ، فسترى كيف سيقوم شخص ما بتثبيته.