nemrég egy orosz kutató közzétette a nulla napos biztonsági rés részleteit a VirtualBox-ban amely lehetővé teszi a támadó számára, hogy kilépjen a virtuális gépből, hogy rosszindulatú kódot hajtson végre a gazdagép operációs rendszerén.
Szergej Zelenyuk orosz kutató egy nulla napos biztonsági rést fedezett fel, amely közvetlenül érinti a Virtual Box 5.2.20 változatát, valamint a korábbi verziók.
Ezt a biztonsági rést észlelték lehetővé tenné egy támadó számára, hogy elkerülje a virtuális gépet (vendég operációs rendszer) és lépjen a 3. gyűrűbe, hogy onnan a meglévő technikák segítségével kiaknázza a jogosultságokat és elérje a gazdagép operációs rendszerét (kernel vagy 0 gyűrű).
A közzététel kezdeti részletei szerint a probléma a virtualizációs szoftver megosztott kódbázisában van, amely elérhető az összes támogatott operációs rendszeren.
A VirtualBoxban észlelt Zero-Day biztonsági résről
A GitHub-ra feltöltött szöveges fájl szerint, Szentpétervári kutató, Sergey Zelenyuk, olyan hibalánccal találkozott, amely lehetővé teheti a rosszindulatú kódok kiszabadulását a VirtualBox virtuális gépből (a vendég operációs rendszer) és az alapul szolgáló operációs rendszeren (gazdagépen) fut.
A VirtualBox virtuális gépen kívülre kerülve a rosszindulatú kód az operációs rendszer korlátozott felhasználói területén fut.
"A kihasználás 100% -ban megbízható" - mondta Zelenyuk. "Ez azt jelenti, hogy mindig vagy soha nem működő bináris fájlok vagy más finomabb okok miatt működik, amelyeket nem vettem figyelembe."
Az orosz kutató szerint a nulla nap a VirtualBox összes jelenlegi verzióját érinti, a host vagy a vendég operációs rendszertől függetlenül működik hogy a felhasználó fut, és megbízik az újonnan létrehozott virtuális gépek alapértelmezett beállításaiban.
Szergej Zelenyuk, teljesen egyet nem értve az Oracle hibaprogram-programjukra adott válaszával és a jelenlegi biztonsági rés "marketingjével", közzétett egy videót is a PoC-vel, amely 0 napos működés közben mutatja be az Ubuntu virtuális gépet, amely a VirtualBox belsejében fut egy host operációs rendszeren, szintén Ubuntu.
Zelenyuk bemutatja a hiba kihasználásának részleteit konfigurált virtuális gépeken "Intel PRO / 1000 MT Desktop (82540EM)" hálózati adapterrel NAT módban. Ez az összes vendég rendszer alapértelmezett beállítása a külső hálózatokhoz való hozzáféréshez.
Hogyan működik a sérülékenység
A Zelenyuk által készített technikai útmutató szerint a hálózati adapter sebezhető, így a root jogosultsággal / adminisztrátorral rendelkező támadó elmenekülhet a 3. gazdagép gyűrűjéből. Ezután a meglévő technikák alkalmazásával a támadó fokozhatja a Ring privilégiumait - a / dev / vboxdrv úton.
„Az [Intel PRO / 1000 MT Desktop (82540EM)] olyan biztonsági réssel rendelkezik, amely lehetővé teszi, hogy egy vendég rendszergazdai / root jogosultságokkal rendelkező támadója menekülhessen a gazdagép gyűrűjébe3. Ezután a támadó meglévő technikákkal növelheti a privilégiumokat a 0 / dev / vboxdrv hívására. ”- írja le Zelenyuk keddi fehérlapján.
zelenyuk a sérülékenység működésének megértésének fontos szempontja annak megértése, hogy a fogantyúkat az adatleírók előtt dolgozzák fel.
A kutató részletesen leírja a biztonsági hiba hátterében álló mechanizmusokat, bemutatva, hogy miként lehet kiváltani azokat a feltételeket, amelyek ahhoz szükségesek, hogy olyan puffertúlcsordulást érjünk el, amelyet vissza lehetne használni a virtuális operációs rendszer korlátai elől.
Először egy egész szám alatti áramlási feltételt okozott csomagleírók használatával - olyan adatszegmensekkel, amelyek lehetővé teszik a hálózati adapter számára, hogy nyomon kövesse a hálózati csomagadatokat a rendszer memóriájában.
Ezt az állapotot arra használták ki, hogy a vendég operációs rendszerről adatokat halmozott pufferbe olvasson, és túlcsordulási állapotot okozott, amely funkciómutatók felülírásához vezethet; vagy verem túlcsordulási állapotot okozhat.
A szakértő azt javasolja, hogy a felhasználók enyhítsék a problémát azáltal, hogy virtuális gépeik hálózati kártyáját AMD PCnet-re vagy paravirtualizált hálózati adapterre cserélik, vagy elkerülik a NAT használatát.
„Amíg a javított VirtualBox felépítés ki nem készül, megváltoztathatja a virtuális gépek hálózati kártyáját PCnet-re (akár egyre), akár Paravirtualized Network-re.
Túl fejlett és technikás az agyam számára ... Alig értem az általa használt terminológia negyedét.
Nos, a fő probléma az, hogy sok Linux-felhasználó használja a VirtualBoxot a Windows-hoz, és kiderül, hogy a Windows 7 nem rendelkezik illesztőprogrammal a kártyák számára, amelyeket a szakértő javasolna, és ami még rosszabb, ha a PCnet illesztőprogramot keresi online, úgy tűnik, hogy ha virustotalal vagy bármilyen mással elemzi, akkor 29 víruspozitív eredményt kap, akkor meglátja, hogyan telepíti valaki.