Vor kurzem Ein russischer Forscher veröffentlichte die Details einer Zero-Day-Sicherheitslücke in VirtualBox Dadurch kann ein Angreifer die virtuelle Maschine verlassen, um schädlichen Code auf dem Host-Betriebssystem auszuführen.
Der russische Forscher Sergey Zelenyuk entdeckte eine Zero-Day-Sicherheitslücke, die sich direkt auf Version 5.2.20 von Virtual Box auswirktsowie frühere Versionen.
Diese Sicherheitsanfälligkeit wurde erkannt würde einem Angreifer erlauben, der virtuellen Maschine zu entkommen (Gastbetriebssystem) und wechseln Sie zu Ring 3, damit Sie von dort aus vorhandene Techniken nutzen können, um Berechtigungen zu eskalieren und das Host-Betriebssystem (Kernel oder Ring 0) zu erreichen.
Gemäß den anfänglichen Details der Offenbarung liegt das Problem in einer gemeinsam genutzten Codebasis der Virtualisierungssoftware vor, die auf allen unterstützten Betriebssystemen verfügbar ist.
Informationen zur in VirtualBox erkannten Zero-Day-Sicherheitsanfälligkeit
Laut einer auf GitHub hochgeladenen TextdateiDer in Sankt Petersburg ansässige Forscher Sergey Zelenyuk, Es ist eine Fehlerkette aufgetreten, durch die möglicherweise schädlicher Code von der virtuellen VirtualBox-Maschine entfernt wird (das Gastbetriebssystem) und läuft auf dem zugrunde liegenden Betriebssystem (Host).
Außerhalb der VirtualBox-VM wird der Schadcode auf dem begrenzten Benutzerbereich des Betriebssystems ausgeführt.
"Der Exploit ist 100% zuverlässig", sagte Zelenyuk. "Es bedeutet, dass es aufgrund nicht übereinstimmender Binärdateien oder anderer subtilerer Gründe, die ich nicht berücksichtigt habe, immer oder nie funktioniert."
Der russische Forscher Laut Zero-Day sind alle aktuellen Versionen von VirtualBox betroffen. Sie funktionieren unabhängig vom Host- oder Gastbetriebssystem dass der Benutzer ausgeführt wird und den Standardeinstellungen neu erstellter virtueller Maschinen vertraut wird.
Sergey Zelenyuk hat in völliger Uneinigkeit mit der Reaktion von Oracle auf das Bug-Bounty-Programm und dem aktuellen "Marketing" für Sicherheitslücken ein Video mit dem PoC veröffentlicht, in dem 0 Tage in Aktion gegen eine virtuelle Ubuntu-Maschine gezeigt werden, die in VirtualBox auf einem Host-Betriebssystem ausgeführt wird Ubuntu.
Zelenyuk zeigt Details, wie der Fehler ausgenutzt werden kann auf konfigurierten virtuellen Maschinen mit Netzwerkadapter "Intel PRO / 1000 MT Desktop (82540EM)" im NAT-Modus. Dies ist die Standardeinstellung für alle Gastsysteme, um auf externe Netzwerke zuzugreifen.
Wie die Sicherheitsanfälligkeit funktioniert
Nach dem technischen Leitfaden von Zelenyuk, Der Netzwerkadapter ist anfällig, sodass ein Angreifer mit Root-Rechten / Administrator zum Host-Ring 3 entkommen kann. Anschließend kann der Angreifer mithilfe vorhandener Techniken die Ringberechtigungen über / dev / vboxdrv eskalieren.
„Der [Intel PRO / 1000 MT Desktop (82540EM)] weist eine Sicherheitsanfälligkeit auf, die es einem Angreifer mit Administrator- / Root-Rechten für einen Gast ermöglicht, zu einem Host-Ring3 zu entkommen. Dann kann der Angreifer vorhandene Techniken verwenden, um die Berechtigungen zum Aufrufen von 0 über / dev / vboxdrv zu erhöhen “, beschreibt Zelenyuk in seinem Whitepaper Dienstag.
Selenjuk Ein wichtiger Aspekt für das Verständnis der Funktionsweise der Sicherheitsanfälligkeit ist das Verständnis, dass Handles vor Datendeskriptoren verarbeitet werden.
Der Forscher beschreibt die Mechanismen hinter der Sicherheitslücke im Detail und zeigt, wie die Bedingungen ausgelöst werden können, die erforderlich sind, um einen Pufferüberlauf zu erhalten, der missbraucht werden kann, um den Einschränkungen des virtuellen Betriebssystems zu entgehen.
Erstens verursachte es eine Ganzzahl-Unterlaufbedingung, indem Paketdeskriptoren verwendet wurden - Datensegmente, mit denen der Netzwerkadapter Netzwerkpaketdaten im Systemspeicher verfolgen kann.
Dieser Status wurde ausgenutzt, um Daten vom Gastbetriebssystem in einen Heap-Puffer zu lesen und einen Überlaufzustand zu verursachen, der dazu führen kann, dass Funktionszeiger überschrieben werden. oder um einen Stapelüberlaufzustand zu verursachen.
Der Experte schlägt vor, dass Benutzer das Problem mindern, indem sie die Netzwerkkarte in ihren virtuellen Maschinen auf AMD PCnet oder einen paravirtualisierten Netzwerkadapter ändern oder die Verwendung von NAT vermeiden.
„Bis der gepatchte VirtualBox-Build veröffentlicht ist, können Sie die Netzwerkkarte Ihrer virtuellen Maschinen in PCnet (entweder) oder Paravirtualized Network ändern.
Zu fortgeschritten und technisch für mein Gehirn ... Ich verstehe kaum ein Viertel der verwendeten Terminologie.
Nun, das Hauptproblem ist, dass viele unter Linux VirtualBox verwenden, um ein Windows zu haben, und es stellt sich heraus, dass Windows 7 keinen Treiber für die Karten hat, die der Experte empfiehlt, und noch schlimmer, wenn Sie nach dem PCnet-Treiber suchen Wenn Sie es mit virustotal oder einem anderen analysieren, erhalten Sie 29 Virenpositive, und Sie werden sehen, wie jemand es installiert.