Πρόσφατα Ένας Ρώσος ερευνητής κυκλοφόρησε τις λεπτομέρειες της ευπάθειας μηδενικής ημέρας στο VirtualBox που επιτρέπει σε έναν εισβολέα να βγεί από την εικονική μηχανή για να εκτελέσει κακόβουλο κώδικα στο λειτουργικό σύστημα κεντρικού υπολογιστή.
Ο Ρώσος ερευνητής Sergey Zelenyuk ανακάλυψε μια ευπάθεια μηδενικής ημέρας που επηρεάζει άμεσα την έκδοση 5.2.20 του Virtual Box, καθώς και προηγούμενες εκδόσεις.
Εντοπίστηκε αυτή η ευπάθεια θα επέτρεπε σε έναν εισβολέα να ξεφύγει από την εικονική μηχανή (λειτουργικό σύστημα επισκεπτών) και μεταβείτε στο Ring 3, έτσι ώστε από εκεί να μπορείτε να χρησιμοποιήσετε τις υπάρχουσες τεχνικές για να κλιμακώσετε τα προνόμια και να φτάσετε στο λειτουργικό σύστημα κεντρικού υπολογιστή (πυρήνας ή δακτύλιος 0).
Σύμφωνα με τις αρχικές λεπτομέρειες της αποκάλυψης, το πρόβλημα υπάρχει σε μια κοινόχρηστη βάση κώδικα του λογισμικού εικονικοποίησης, που διατίθεται σε όλα τα υποστηριζόμενα λειτουργικά συστήματα.
Σχετικά με την ευπάθεια Zero-Day που εντοπίστηκε στο VirtualBox
Σύμφωνα με ένα αρχείο κειμένου που ανέβηκε στο GitHub, Ερευνητής με έδρα την Αγία Πετρούπολη Sergey Zelenyuk, αντιμετώπισε μια αλυσίδα σφαλμάτων που μπορεί να επιτρέψει την έξοδο κακόβουλου κώδικα από την εικονική μηχανή VirtualBox (το λειτουργικό σύστημα επισκεπτών) και τρέχει στο υποκείμενο λειτουργικό σύστημα (κεντρικός υπολογιστής).
Όταν βρίσκεστε εκτός του VirtualBox VM, ο κακόβουλος κώδικας εκτελείται στον περιορισμένο χώρο του λειτουργικού συστήματος.
"Η εκμετάλλευση είναι 100% αξιόπιστη", δήλωσε ο Ζελενιούκ. "Αυτό σημαίνει ότι λειτουργεί πάντα ή ποτέ λόγω αναντιστοιχίας δυαδικών αρχείων ή άλλων πιο λεπτών λόγων που δεν έλαβα υπόψη."
Ο Ρώσος ερευνητής λέει ότι το zero-day επηρεάζει όλες τις τρέχουσες εκδόσεις του VirtualBox, λειτουργεί ανεξάρτητα από το λειτουργικό σύστημα φιλοξενίας ή επισκέπτη ότι ο χρήστης εκτελείται και είναι αξιόπιστος έναντι των προεπιλεγμένων ρυθμίσεων των εικονικών μηχανών που δημιουργήθηκαν πρόσφατα.
Ο Sergey Zelenyuk, σε απόλυτη διαφωνία με την απάντηση της Oracle στο πρόγραμμα bug bounty και την τρέχουσα ευπάθεια "μάρκετινγκ", έχει επίσης δημοσιεύσει ένα βίντεο με το PoC που δείχνει 0-ημέρα σε δράση εναντίον μιας εικονικής μηχανής Ubuntu που τρέχει μέσα στο VirtualBox σε ένα λειτουργικό σύστημα υποδοχής επίσης από Ubuntu.
Το Zelenyuk δείχνει λεπτομέρειες για το πώς μπορεί να χρησιμοποιηθεί το σφάλμα σε διαμορφωμένες εικονικές μηχανές με προσαρμογέα δικτύου "Intel PRO / 1000 MT Desktop (82540EM)" σε λειτουργία NAT. Είναι η προεπιλεγμένη ρύθμιση για όλα τα συστήματα επισκεπτών να έχουν πρόσβαση σε εξωτερικά δίκτυα.
Πώς λειτουργεί η ευπάθεια
Σύμφωνα με τον τεχνικό οδηγό του Zelenyuk, ο προσαρμογέας δικτύου είναι ευάλωτος, επιτρέποντας σε έναν εισβολέα με δικαιώματα ρίζας / διαχειριστή να ξεφύγει από τον κεντρικό δακτύλιο 3. Στη συνέχεια, χρησιμοποιώντας τις υπάρχουσες τεχνικές, ο εισβολέας μπορεί να κλιμακώσει τα προνόμια Ring - μέσω / dev / vboxdrv.
«Το [Intel PRO / 1000 MT Desktop (82540EM)] έχει μια ευπάθεια που επιτρέπει σε έναν εισβολέα με δικαιώματα διαχειριστή / root σε έναν επισκέπτη να ξεφύγει από έναν κεντρικό δακτύλιο3. Τότε ο εισβολέας μπορεί να χρησιμοποιήσει τις υπάρχουσες τεχνικές για να αυξήσει τα προνόμια για να καλέσει το 0 μέσω / dev / vboxdrv », περιγράφει ο Zelenyuk στο Λευκό Βιβλίο του την Τρίτη.
Ζελενιούκ λέει μια σημαντική πτυχή της κατανόησης του τρόπου λειτουργίας της ευπάθειας είναι η κατανόηση ότι οι χειρισμοί υποβάλλονται σε επεξεργασία πριν από τους περιγραφείς δεδομένων.
Ο ερευνητής περιγράφει λεπτομερώς τους μηχανισμούς πίσω από το ελάττωμα ασφαλείας, δείχνοντας πώς να ενεργοποιήσετε τις απαραίτητες συνθήκες για να αποκτήσετε μια υπερχείλιση buffer που θα μπορούσε να χρησιμοποιηθεί κατά τρόπο ώστε να ξεφύγει από τους περιορισμούς του εικονικού λειτουργικού συστήματος.
Κατ 'αρχάς, προκάλεσε μια ακέραια κατάσταση υπό ροής χρησιμοποιώντας περιγραφές πακέτων - τμήματα δεδομένων που επιτρέπουν στον προσαρμογέα δικτύου να εντοπίζει δεδομένα πακέτων δικτύου στη μνήμη του συστήματος.
Αυτή η κατάσταση εκμεταλλεύτηκε για να διαβάσει δεδομένα από το λειτουργικό σύστημα επισκεπτών σε ένα buffer σωρού και να προκαλέσει μια κατάσταση υπερχείλισης που θα μπορούσε να οδηγήσει σε αντικατάσταση των δεικτών λειτουργίας. ή να προκαλέσει κατάσταση υπερχείλισης στοίβας.
Ο ειδικός προτείνει στους χρήστες να μετριάσουν το πρόβλημα αλλάζοντας την κάρτα δικτύου στις εικονικές μηχανές τους σε AMD PCnet ή έναν παραμετροποιημένο προσαρμογέα δικτύου ή αποφεύγοντας τη χρήση του NAT.
«Μέχρι να εξαντληθεί η ενημερωμένη έκδοση του VirtualBox, μπορείτε να αλλάξετε την κάρτα δικτύου των εικονικών μηχανών σας σε PCnet (είτε ένα) είτε Paravirtualized Network.
Πολύ προηγμένη και τεχνική για τον εγκέφαλό μου ... μόλις καταλαβαίνω το ένα τέταρτο της ορολογίας που χρησιμοποιεί.
Λοιπόν, το κύριο πρόβλημα είναι ότι πολλοί με το Linux χρησιμοποιούν το VirtualBox για να έχουν Windows και αποδεικνύεται ότι τα Windows 7 δεν διαθέτουν πρόγραμμα οδήγησης για τις κάρτες που ο ειδικός συμβουλεύει να βάλει, και ακόμη χειρότερα, αν ψάχνετε για το πρόγραμμα οδήγησης PCnet στο διαδίκτυο, φαίνεται ότι αν το αναλύσετε με virustotal ή οποιοδήποτε άλλο έχετε 29 θετικά ιούς, θα δείτε πώς θα το εγκαταστήσει κάποιος.