VirtualBox에서 발견 된 제로 데이 취약점

Darkcrizt

4 분

제로 데이 (Zero Day)

최근에 러시아 연구원이 VirtualBox의 제로 데이 취약점에 대한 세부 정보를 공개했습니다. 공격자가 가상 ​​머신을 종료하여 호스트 운영 체제에서 악성 코드를 실행할 수 있습니다.

러시아 연구원 인 Sergey Zelenyuk이 Virtual Box 버전 5.2.20에 직접 영향을 미치는 제로 데이 취약점을 발견했습니다., 이전 버전.

이 취약점이 발견되었습니다. 공격자가 가상 ​​머신을 탈출 할 수 있습니다. (게스트 운영 체제) 링 3으로 이동하면 기존 기술을 사용하여 권한을 상승시키고 호스트 운영 체제 (커널 또는 링 0)에 도달 할 수 있습니다.

개시 내용의 초기 세부 사항에 따르면, 문제는 지원되는 모든 운영 체제에서 사용 가능한 가상화 소프트웨어의 공유 코드베이스에 존재합니다.

VirtualBox에서 감지 된 제로 데이 취약점 정보

GitHub에 업로드 된 텍스트 파일에 따르면, 상트 페테르부르크의 연구원 Sergey Zelenyuk, 악성 코드가 VirtualBox 가상 머신에서 탈출 할 수있는 일련의 오류가 발생했습니다. (게스트 운영 체제) 기본 운영 체제 (호스트)에서 실행됩니다.

VirtualBox VM 외부에서 악성 코드는 운영 체제의 제한된 사용자 공간에서 실행됩니다.

Zelenyuk은 "이 익스플로잇은 100 % 신뢰할 수 있습니다."라고 말했습니다. "그것은 일치하지 않는 바이너리 또는 내가 고려하지 않은 다른 더 미묘한 이유 때문에 항상 작동하거나 전혀 작동하지 않음을 의미합니다."

러시아 연구원 제로 데이는 모든 현재 버전의 VirtualBox에 영향을 미치며 호스트 또는 게스트 OS에 관계없이 작동한다고 말합니다. 사용자가 실행 중이고 새로 생성 된 가상 머신의 기본 설정에 대해 신뢰할 수 있음을 확인합니다.

Sergey Zelenyuk은 버그 현상금 프로그램 및 현재 취약성 "마케팅"에 대한 오라클의 대응에 대해 완전히 동의하지 않습니다. 또한 호스트 OS의 VirtualBox 내부에서 실행되는 Ubuntu 가상 머신에 대해 작동중인 0 일을 보여주는 PoC 비디오를 게시했습니다. 우분투.

Zelenyuk은 버그를 악용 할 수있는 방법에 대한 세부 정보를 보여줍니다. 구성된 가상 머신에서 "인텔 PRO / 1000 MT 데스크탑 (82540EM)"네트워크 어댑터 포함 NAT 모드에서. 모든 게스트 시스템이 외부 네트워크에 액세스하기위한 기본 설정입니다.

취약점 작동 방식

Zelenyuk이 만든 기술 가이드에 따르면 네트워크 어댑터가 취약하여 루트 권한 / 관리자가있는 공격자가 호스트 링 3으로 탈출 할 수 있습니다. 그런 다음 기존 기술을 사용하여 공격자는 / dev / vboxdrv를 통해 Ring의 권한을 상승시킬 수 있습니다.

«[인텔 PRO / 1000 MT 데스크탑 (82540EM)]은 게스트에 대한 관리자 / 루트 권한을 가진 공격자가 호스트 링으로 탈출 할 수있는 취약점이 있습니다 3. 그러면 공격자는 기존 기술을 사용하여 / dev / vboxdrv를 통해 0을 호출하는 권한을 높일 수 있습니다. "Zelenyuk은 화요일 백서에서 설명합니다.

젤레뉴크 취약성이 작동하는 방식을 이해하는 데 중요한 측면은 데이터 설명자보다 먼저 핸들이 처리된다는 것을 이해하는 것입니다.

연구원은 보안 결함이면의 메커니즘을 자세히 설명하여 가상 운영 체제의 제한을 벗어나기 위해 남용 될 수있는 버퍼 오버플로를 얻는 데 필요한 조건을 트리거하는 방법을 보여줍니다.

첫째, 네트워크 어댑터가 시스템 메모리에서 네트워크 패킷 데이터를 추적 할 수 있도록하는 데이터 세그먼트 인 패킷 설명자를 사용하여 정수 언더 플로 조건을 발생 시켰습니다.

이 상태는 게스트 운영 체제에서 힙 버퍼로 데이터를 읽는 데 악용되어 함수 포인터를 덮어 쓸 수있는 오버플로 상태를 유발합니다. 또는 스택 오버플로 조건을 유발합니다.

전문가는 사용자가 가상 ​​컴퓨터의 네트워크 카드를 AMD PCnet 또는 반 가상화 네트워크 어댑터로 변경하거나 NAT 사용을 피함으로써 문제를 완화 할 것을 제안합니다.

“패치 된 VirtualBox 빌드가 출시 될 때까지 가상 머신의 네트워크 카드를 PCnet (하나) 또는 반 가상화 네트워크로 변경할 수 있습니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   mvr1981
    5 년

    내 두뇌에 너무 고급스럽고 기술적 인 ... 나는 그것이 사용하는 용어의 XNUMX/XNUMX을 거의 이해하지 못합니다.

    답장 mvr1981
  2.   길레
    5 년

    글쎄요, 주된 문제는 Linux를 사용하는 많은 사람들이 VirtualBox를 사용하여 Windows를 사용한다는 것입니다. 그리고 Windows 7에는 전문가가 권장하는 카드 드라이버가 없으며 PCnet 드라이버를 찾으면 더 나쁜 것으로 밝혀졌습니다. 온라인에서는 virustotal 또는 다른 것으로 분석하면 29 개의 바이러스 양성 결과가 나오면 누군가가 어떻게 설치하는지 볼 수 있습니다.

    Guillermo에게 답장