наскоро руски изследовател публикува подробности за уязвимост от нулев ден във VirtualBox което позволява на нападателя да излезе от виртуалната машина, за да изпълни злонамерен код на хост операционната система.
Руският изследовател Сергей Зеленюк откри уязвимост от нулев ден, която пряко засяга версия 5.2.20 на Virtual Box, както и предишни версии.
Тази уязвимост е открита ще позволи на нападателя да избяга от виртуалната машина (гост операционна система) и се преместете в Ring 3, така че оттам можете да използвате съществуващите техники за ескалиране на привилегии и достигане до операционната система на хоста (ядро или пръстен 0).
Според първоначалните подробности за разкриването, проблемът е налице в споделена кодова база на софтуера за виртуализация, достъпна във всички поддържани операционни системи.
За уязвимостта на Zero-Day, открита във VirtualBox
Според текстов файл, качен в GitHub, Изследовател от Санкт Петербург Сергей Зеленюк, срещна верига от грешки, които могат да позволят на злонамерен код да избяга от виртуалната машина VirtualBox (операционната система за гости) и работи на основната операционна система (хост).
Веднъж извън VirtualBox VM, зловредният код се изпълнява в ограниченото потребителско пространство на операционната система.
"Експлойтът е 100% надежден", каза Зеленюк. „Това означава, че винаги или никога не работи поради несъответстващи двоични файлове или други по-фини причини, които не взех предвид.“
Руският изследовател казва, че нулевият ден засяга всички текущи версии на VirtualBox, той работи независимо от хост или гост OS че потребителят работи и му се вярва спрямо настройките по подразбиране на новосъздадените виртуални машини.
Сергей Зеленюк, в пълно несъгласие с отговора на Oracle на тяхната програма за грешки и текущата уязвимост "маркетинг", също публикува видео с PoC, показващо 0-дневен в действие срещу виртуална машина на Ubuntu, която работи в VirtualBox на хост OS също от Ubuntu.
Zelenyuk показва подробности за това как може да се използва грешката на конфигурирани виртуални машини с мрежов адаптер "Intel PRO / 1000 MT Desktop (82540EM)" в режим NAT. Това е настройката по подразбиране за всички системи за гости за достъп до външни мрежи.
Как работи уязвимостта
Според техническото ръководство, направено от Zelenyuk, мрежовият адаптер е уязвим, което позволява на атакуващ с root права / администратор да избяга до хост пръстен 3 След това, използвайки съществуващи техники, нападателят може да ескалира привилегиите на Ring - чрез / dev / vboxdrv.
«[Intel PRO / 1000 MT Desktop (82540EM)] има уязвимост, която позволява на атакуващ с администраторски / root права на гост да избяга до хост пръстен3. Тогава нападателят може да използва съществуващите техники, за да увеличи привилегиите за извикване на 0 чрез / dev / vboxdrv “, описва Зеленюк в своята бяла книга във вторник.
Зеленюк казва, че важен аспект на разбирането как работи уязвимостта е разбирането, че манипулаторите се обработват преди дескрипторите на данни.
Изследователят описва подробно механизмите зад недостатъка на сигурността, показвайки как да се задействат условията, необходими за преливане на буфер, който може да бъде злоупотребен, за да се избегнат ограниченията на виртуалната операционна система.
Първо, това доведе до цялостно условие за недолив чрез използване на дескриптори на пакети - сегменти от данни, които позволяват на мрежовия адаптер да проследява мрежовите пакетни данни в системната памет.
Това състояние се използва за четене на данни от гостуващата операционна система в буфер на купчина и причинява състояние на препълване, което може да доведе до презаписване на указатели на функции; или да предизвика състояние на препълване на стека.
Експертът предлага на потребителите да смекчат проблема, като сменят мрежовата карта във виртуалните си машини на AMD PCnet или паравиртуализиран мрежов адаптер или като избягват използването на NAT.
„Докато не бъде изчерпана версията на VirtualBox, можете да промените мрежовата карта на виртуалните си машини на PCnet (или една) или паравиртуализирана мрежа.
Твърде напреднал и технически за мозъка ми ... Едва разбирам една четвърт от терминологията, която използва.
Е, основният проблем е, че мнозина с Linux използват VirtualBox, за да имат Windows и се оказва, че Windows 7 няма драйвер за картите, които експертът съветва да постави, и още по-лошо, ако търсите драйвера за PCnet онлайн се появява, че Ако го анализирате с virustotal или друг, получите 29 вирусни положителни резултата, ще видите как някой ще го инсталира.