recentemente un ricercatore russo ha rilasciato i dettagli di una vulnerabilità zero-day in VirtualBox che consente a un utente malintenzionato di uscire dalla macchina virtuale per eseguire codice dannoso sul sistema operativo host.
Il ricercatore russo Sergey Zelenyuk ha scoperto una vulnerabilità zero-day che interessa direttamente la versione 5.2.20 di Virtual Box, così come le versioni precedenti.
Questa vulnerabilità rilevata consentirebbe a un utente malintenzionato di sfuggire alla macchina virtuale (sistema operativo guest) e passare all'anello 3, in modo da poter utilizzare le tecniche esistenti per aumentare i privilegi e raggiungere il sistema operativo host (kernel o anello 0).
Secondo i dettagli iniziali dell'informativa, il problema è presente in una codebase condivisa del software di virtualizzazione, disponibile su tutti i sistemi operativi supportati.
Informazioni sulla vulnerabilità Zero-Day rilevata in VirtualBox
Secondo un file di testo caricato su GitHub, Il ricercatore di San Pietroburgo Sergey Zelenyuk, si è verificata una catena di errori che potrebbe consentire la fuga di codice dannoso dalla macchina virtuale VirtualBox (il sistema operativo guest) e viene eseguito sul sistema operativo sottostante (host).
Una volta fuori dalla VM VirtualBox, il codice dannoso viene eseguito nello spazio utente limitato del sistema operativo.
"L'exploit è affidabile al 100%", ha detto Zelenyuk. "Significa che funziona sempre o mai a causa di binari non corrispondenti o per altri motivi più sottili che non ho preso in considerazione."
Il ricercatore russo dice che zero-day influisce su tutte le versioni attuali di VirtualBox, funziona indipendentemente dal sistema operativo host o guest che l'utente è in esecuzione ed è attendibile rispetto alle impostazioni predefinite delle macchine virtuali appena create.
Sergey Zelenyuk, in totale disaccordo con la risposta di Oracle al loro programma di bug bounty e all'attuale "marketing" di vulnerabilità, ha anche pubblicato un video con il PoC che mostra 0-day in azione contro una macchina virtuale Ubuntu che funziona all'interno di VirtualBox su un sistema operativo host anche da Ubuntu.
Zelenyuk mostra i dettagli di come il bug può essere sfruttato su macchine virtuali configurate con scheda di rete "Intel PRO / 1000 MT Desktop (82540EM)" in modalità NAT. È l'impostazione predefinita per tutti i sistemi guest per accedere alle reti esterne.
Come funziona la vulnerabilità
Secondo la guida tecnica realizzata da Zelenyuk, l'adattatore di rete è vulnerabile, consentendo a un utente malintenzionato con privilegi di root / amministratore di sfuggire all'anello host 3. Quindi, utilizzando le tecniche esistenti, l'aggressore può aumentare i privilegi di Ring - tramite / dev / vboxdrv.
«[Intel PRO / 1000 MT Desktop (82540EM)] ha una vulnerabilità che consente a un utente malintenzionato con privilegi di amministratore / root su un ospite di accedere a un ring3 host. Quindi l'attaccante può utilizzare le tecniche esistenti per aumentare i privilegi per chiamare 0 tramite / dev / vboxdrv ", spiega Zelenyuk nel suo white paper martedì.
zelenyuk afferma che un aspetto importante per capire come funziona la vulnerabilità è capire che gli handle vengono elaborati prima dei descrittori dei dati.
Il ricercatore descrive in dettaglio i meccanismi alla base della falla di sicurezza, mostrando come attivare le condizioni necessarie per ottenere un buffer overflow di cui si potrebbe abusare per sfuggire ai confini del sistema operativo virtuale.
In primo luogo, ha causato una condizione di underflow intero utilizzando descrittori di pacchetto, segmenti di dati che consentono alla scheda di rete di tracciare i dati dei pacchetti di rete nella memoria di sistema.
Questo stato è stato sfruttato per leggere i dati dal sistema operativo guest in un buffer di heap e causare una condizione di overflow che potrebbe portare alla sovrascrittura dei puntatori di funzione; o per causare una condizione di overflow dello stack.
L'esperto suggerisce agli utenti di mitigare il problema cambiando la scheda di rete nelle loro macchine virtuali con AMD PCnet o una scheda di rete paravirtualizzata o evitando l'uso del NAT.
"Fino a quando la build di VirtualBox con patch non sarà disponibile, è possibile modificare la scheda di rete delle macchine virtuali in PCnet (uno solo) o Rete paravirtualizzata.
Troppo avanzato e tecnico per il mio cervello ... Capisco a malapena un quarto della terminologia che usa.
Bene, il problema principale è che molti con Linux usano VirtualBox per avere un Windows, e si scopre che Windows 7 non ha un driver per le schede che l'esperto consiglia di mettere, e ancora peggio, se cerchi il driver PCnet online, sembra che Se lo analizzi con virustotal o qualsiasi altro ottieni 29 virus positivi, vedrai come qualcuno lo installa.