Récemment un chercheur russe a publié les détails d'une vulnérabilité zero-day dans VirtualBox qui permet à un attaquant de quitter la machine virtuelle pour exécuter du code malveillant sur le système d'exploitation hôte.
Le chercheur russe Sergey Zelenyuk a découvert une vulnérabilité zero-day qui affecte directement la version 5.2.20 de Virtual Box, ainsi que les versions précédentes.
Cette vulnérabilité détectée permettrait à un attaquant d'échapper à la machine virtuelle (système d'exploitation invité) et passez à Ring 3, de sorte qu'à partir de là, vous puissiez utiliser les techniques existantes pour augmenter les privilèges et atteindre le système d'exploitation hôte (noyau ou anneau 0).
Selon les détails initiaux de la divulgation, le problème est présent dans une base de code partagée du logiciel de virtualisation, disponible sur tous les systèmes d'exploitation pris en charge.
À propos de la vulnérabilité Zero-Day détectée dans VirtualBox
Selon un fichier texte téléchargé sur GitHub, Chercheur basé à Saint-Pétersbourg Sergey Zelenyuk, rencontré une chaîne d'erreurs qui peuvent permettre à un code malveillant de s'échapper de la machine virtuelle VirtualBox (le système d'exploitation invité) et s'exécute sur le système d'exploitation sous-jacent (hôte).
Une fois en dehors de la VM VirtualBox, le code malveillant s'exécute dans l'espace utilisateur limité du système d'exploitation.
"L'exploit est fiable à 100%", a déclaré Zelenyuk. "Cela signifie que cela fonctionne toujours ou jamais en raison de binaires incompatibles ou d'autres raisons plus subtiles que je n'ai pas prises en compte."
Le chercheur russe dit zero-day affecte toutes les versions actuelles de VirtualBox, il fonctionne quel que soit l'hôte ou le système d'exploitation invité que l'utilisateur exécute et est approuvé par rapport aux paramètres par défaut des machines virtuelles nouvellement créées.
Sergey Zelenyuk, en désaccord total avec la réponse d'Oracle à son programme de bug bounty et au "marketing" de vulnérabilité actuel, a également publié une vidéo avec le PoC montrant 0 jour en action contre une machine virtuelle Ubuntu qui s'exécute dans VirtualBox sur un OS hôte également à partir de Ubuntu.
Zelenyuk montre des détails sur la façon dont le bogue peut être exploité sur les machines virtuelles configurées avec carte réseau "Intel PRO / 1000 MT Desktop (82540EM)" en mode NAT. Il s'agit du paramètre par défaut permettant à tous les systèmes invités d'accéder aux réseaux externes.
Comment fonctionne la vulnérabilité
Selon le guide technique réalisé par Zelenyuk, la carte réseau est vulnérable, ce qui permet à un attaquant disposant des privilèges root / admin de s'échapper vers l'anneau hôte 3. Ensuite, en utilisant les techniques existantes, l'attaquant peut élever les privilèges de Ring - via / dev / vboxdrv.
«Le [Intel PRO / 1000 MT Desktop (82540EM)] a une vulnérabilité qui permet à un attaquant avec des privilèges d'administrateur / root sur un invité de s'échapper vers un anneau hôte3. Ensuite, l'attaquant peut utiliser les techniques existantes pour augmenter les privilèges pour appeler 0 via / dev / vboxdrv », décrit Zelenyuk dans son livre blanc mardi.
zelenyuk dit qu'un aspect important de la compréhension du fonctionnement de la vulnérabilité est de comprendre que les descripteurs sont traités avant les descripteurs de données.
Le chercheur décrit en détail les mécanismes derrière la faille de sécurité, montrant comment déclencher les conditions nécessaires pour obtenir un débordement de tampon qui pourrait être abusé pour échapper aux confinements du système d'exploitation virtuel.
Tout d'abord, il a provoqué une condition de sous-débit d'entiers en utilisant des descripteurs de paquets - des segments de données qui permettent à la carte réseau de suivre les données de paquets réseau dans la mémoire système.
Cet état a été exploité pour lire des données du système d'exploitation invité dans un tampon de tas et provoquer une condition de débordement qui pourrait conduire à l'écrasement des pointeurs de fonction; ou pour provoquer une condition de débordement de pile.
L'expert suggère aux utilisateurs d'atténuer le problème en remplaçant la carte réseau de leurs machines virtuelles par AMD PCnet ou une carte réseau paravirtualisée ou en évitant l'utilisation de NAT.
«Jusqu'à ce que la version corrigée de VirtualBox soit sortie, vous pouvez changer la carte réseau de vos machines virtuelles en PCnet (l'un ou l'autre) ou en réseau paravirtualisé.
Trop avancé et technique pour mon cerveau ... Je comprends à peine un quart de la terminologie qu'il utilise.
Eh bien, le problème principal est que beaucoup de Linux utilisent VirtualBox pour avoir un Windows, et il s'avère que Windows 7 n'a pas de pilote pour les cartes que l'expert conseille de mettre, et pire encore, si vous recherchez le pilote PCnet en ligne, il semble que si vous l'analysez avec virustotal ou tout autre, vous obtenez 29 virus positifs, vous verrez comment quelqu'un va l'installer.