VirtualBoxista löytyi nollapäivän haavoittuvuus

Zero Day

äskettäin venäläinen tutkija julkaisi yksityiskohdat nollapäivän haavoittuvuudesta VirtualBoxissa jonka avulla hyökkääjä voi poistua virtuaalikoneesta suorittamaan haitallista koodia isäntäkäyttöjärjestelmässä.

Venäläinen tutkija Sergei Zelenyuk löysi nollapäivän haavoittuvuuden, joka vaikuttaa suoraan Virtual Boxin versioon 5.2.20, samoin kuin edelliset versiot.

Tämä haavoittuvuus havaittu antaisi hyökkääjän paeta virtuaalikoneelta (vieras käyttöjärjestelmä) ja siirry Ring 3: een, jotta voit käyttää olemassa olevia tekniikoita laajentaaksesi käyttöoikeuksia ja saavuttaaksesi isäntäkäyttöjärjestelmän (ydin tai rengas 0).

Esittelyn alkuperäisten yksityiskohtien mukaan ongelma esiintyy virtualisointiohjelmiston jaetussa koodipohjassa, joka on käytettävissä kaikissa tuetuissa käyttöjärjestelmissä.

Tietoja VirtualBoxissa havaitusta Zero-Day-haavoittuvuudesta

GitHubiin ladatun tekstitiedoston mukaan, Pietarissa toimiva tutkija Sergey Zelenyuk, törmännyt virheketjuun, joka saattaa sallia haitallisen koodin poistumisen VirtualBox-virtuaalikoneesta (vieras-käyttöjärjestelmä) ja toimii taustalla olevassa käyttöjärjestelmässä (isäntä).

Haittaohjelma on VirtualBox VM: n ulkopuolella, ja se toimii käyttöjärjestelmän rajoitetulla käyttäjäalueella.

"Hyödyntäminen on 100% luotettavaa", Zelenyuk sanoi. "Se tarkoittaa, että se toimii aina tai ei koskaan johtuu ristiriitaisista binaareista tai muista hienovaraisemmista syistä, joita en ottanut huomioon."

Venäläinen tutkija sanoo, että nollapäivä vaikuttaa kaikkiin nykyisiin VirtualBox-versioihin, se toimii isännästä tai vieraskäyttöjärjestelmästä riippumatta että käyttäjä on käynnissä ja että hän luottaa vasta luotujen virtuaalikoneiden oletusasetuksiin.

Sergey Zelenyuk, joka on täysin eri mieltä Oraclen vastauksesta heidän vikapalkkio-ohjelmaansa ja nykyisen haavoittuvuuden "markkinoinnista", on myös julkaissut videon, jossa PoC näyttää 0 päivän toiminnan Ubuntun virtuaalikoneessa, joka toimii VirtualBoxissa isäntä-käyttöjärjestelmässä, myös Ubuntu.

Zelenyuk näyttää yksityiskohtia siitä, kuinka virhettä voidaan hyödyntää määritetyissä virtuaalikoneissa "Intel PRO / 1000 MT Desktop (82540EM)" -verkkosovittimella NAT-tilassa. Se on oletusasetus kaikille vierasjärjestelmille pääsyyn ulkoisiin verkkoihin.

Kuinka haavoittuvuus toimii

Zelenyukin tekemän teknisen oppaan mukaan Verkkosovitin on haavoittuva, joten pääkäyttäjän / järjestelmänvalvojan hyökkääjä voi paeta isäntärenkaaseen 3. Sitten hyökkääjä voi nykyisiä tekniikoita käyttämällä lisätä Ring-oikeuksia - / dev / vboxdrv: n kautta.

«[Intel PRO / 1000 MT -työpöydällä (82540EM)] on haavoittuvuus, jonka avulla vieraan järjestelmänvalvojan / pääkäyttäjän oikeudet omaava hyökkääjä voi paeta isäntärenkaalle3. Sitten hyökkääjä voi käyttää olemassa olevia tekniikoita lisätäksesi oikeuksia soittaa 0 kautta / dev / vboxdrv ", Zelenyuk kuvaa tiistaina.

zelenyuk sanoo, että tärkeä näkökohta haavoittuvuuden toiminnassa on ymmärtää, että kahvat käsitellään ennen datakuvaajia.

Tutkija kuvailee yksityiskohtaisesti suojausvirheen takana olevia mekanismeja osoittamalla, kuinka laukaista olosuhteet, jotka ovat välttämättömiä puskurin ylivuotoa varten, jota voidaan käyttää väärin virtuaalisen käyttöjärjestelmän rajojen välttämiseksi.

Ensinnäkin se aiheutti kokonaisluvun alivuototilan käyttämällä pakettikuvaajia - datasegmenttejä, joiden avulla verkkosovitin voi jäljittää verkon pakettidataa järjestelmän muistista.

Tätä tilaa käytettiin lukemaan tietoja vieraskäyttöjärjestelmästä kasapuskuriin ja aiheuttamaan ylivuototilaa, joka voi johtaa toiminto-osoittimien korvaamiseen. tai aiheuttaa pinon ylivuototilan.

Asiantuntija ehdottaa, että käyttäjät lieventävät ongelmaa vaihtamalla virtuaalikoneiden verkkokortin AMD PCnet -verkkoon tai paravirtualisoituun verkkosovittimeen tai välttämällä NAT: n käyttöä.

"Kunnes korjattava VirtualBox-koontiversio on valmis, voit vaihtaa virtuaalikoneidesi verkkokortin PCnet (joko yksi) tai Paravirtualized Network.


2 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   mvr1981 dijo

    Liian edistynyt ja tekninen aivoni ... ymmärrän tuskin neljänneksen sen käyttämästä terminologiasta.

  2.   Guillermo dijo

    Pääongelma on, että monet Linux-käyttäjät käyttävät VirtualBoxia Windowsin hankkimiseen, ja käy ilmi, että Windows 7: llä ei ole ohjainta korteille, jotka asiantuntija neuvoo asettamaan, ja mikä vielä pahempaa, jos etsit PCnet-ohjainta verkossa näyttää siltä, ​​että jos analysoit sen virustotalilla tai muulla, saat 29 viruspositiivista, näet kuinka joku asentaa sen.