Nulio dienos pažeidžiamumas rastas „VirtualBox“

Neseniai rusų tyrėjas „VirtualBox“ išleido išsamią informaciją apie nulinės dienos pažeidžiamumą leidžiantis užpuolikui išeiti iš virtualios mašinos ir vykdyti pagrindinės kompiuterio operacinės sistemos kenkėjišką kodą.

Rusijos tyrėjas Sergejus Zelenyukas atrado nulio dienos pažeidžiamumą, kuris tiesiogiai veikia „Virtual Box“ 5.2.20 versiją, taip pat ankstesnės versijos.

Aptiktas šis pažeidžiamumas leistų užpuolikui pabėgti iš virtualios mašinos (svečio operacinė sistema) ir pereikite prie 3 žiedo, kad galėtumėte pasinaudoti esamais metodais, kad padidintumėte teises ir pasiektumėte pagrindinę operacinę sistemą (branduolį arba žiedą 0).

Remiantis pradine atskleidimo detale, problema iškyla bendroje virtualizacijos programinės įrangos kodo bazėje, prieinamoje visose palaikomose operacinėse sistemose.

Apie „Zero-Day“ pažeidžiamumą, aptiktą „VirtualBox“

Pagal tekstinį failą, įkeltą į „GitHub“, Sankt Peterburge dirbantis tyrėjas Sergejus Zelenyukas, susidūrė su klaidų grandine, kuri gali leisti kenkėjiškam kodui ištrūkti iš virtualiosios mašinos „VirtualBox“ (svečio operacinė sistema) ir veikia pagrindinėje operacinėje sistemoje (pagrindiniame).

Kenkėjiškas kodas patekęs už „VirtualBox VM“ ribų veikia ribotoje operacinės sistemos vartotojo erdvėje.

„Išnaudojimas yra 100% patikimas“, - sakė Zelenyukas. - Tai reiškia, kad jis visada arba niekada neveikia dėl nesuderintų dvejetainių failų ar kitų subtilesnių priežasčių, į kurias neatsižvelgiau.

Rusijos tyrinėtojas sako, kad nulio diena veikia visas dabartines „VirtualBox“ versijas, ji veikia nepriklausomai nuo pagrindinės ar svečiosios OS kad vartotojas veikia ir yra patikimas pagal naujai sukurtų virtualių mašinų numatytuosius nustatymus.

Sergejus Zelenyukas, visiškai nesutikdamas su „Oracle“ atsakymu į jų klaidų gausos programą ir dabartinę pažeidžiamumo „rinkodarą“, taip pat paskelbė vaizdo įrašą su „PoC“, kuriame 0 dienų veiksmas rodomas prieš „Ubuntu“ virtualią mašiną, kuri veikia „VirtualBox“ viduje pagrindinėje OS, taip pat iš „Ubuntu“.

Zelenyukas rodo išsamią informaciją, kaip klaidą galima išnaudoti sukonfigūruotose virtualiose mašinose su „Intel PRO / 1000 MT Desktop (82540EM)“ tinklo adapteriu NAT režimu. Tai yra numatytasis nustatymas visoms svečių sistemoms pasiekti išorinius tinklus.

Kaip veikia pažeidžiamumas

Remiantis Zelenyuko parengtu techniniu vadovu, tinklo adapteris yra pažeidžiamas, todėl užpuolikas, turintis root teises / administratorių, gali pabėgti iš 3 pagrindinio kompiuterio žiedo. Tada, naudodamas esamas technikas, užpuolikas gali išplėsti žiedo teises - per / dev / vboxdrv.

«[Intel PRO / 1000 MT Desktop (82540EM)] yra pažeidžiamumas, leidžiantis užpuolikui, turinčiam svečio administratoriaus / root teises, pabėgti į pagrindinio kompiuterio žiedą3. Tada užpuolikas gali naudoti esamas technikas, kad padidintų privilegijas skambinti 0 per / dev / vboxdrv “, - antradienį savo baltraštyje aprašo Zelenyukas.

Zelenyukas sako, kad svarbu suprasti, kaip veikia pažeidžiamumas, suprasti, kad rankenos apdorojamos prieš duomenų aprašus.

Tyrėjas išsamiai aprašo saugumo trūkumo mechanizmus ir parodo, kaip suaktyvinti sąlygas, būtinas norint gauti buferio perpildymą, kuriuo būtų galima piktnaudžiauti norint išvengti virtualios operacinės sistemos uždarymo.

Pirma, tai sukėlė sveiko skaičiaus nepakankamumo sąlygą, naudodama paketų deskriptorius - duomenų segmentus, leidžiančius tinklo adapteriui atsekti tinklo paketinius duomenis sistemos atmintyje.

Ši būsena buvo naudojama norint nuskaityti svečio operacinės sistemos duomenis į kaupo buferį ir sukelti perpildymo sąlygą, dėl kurios funkcijų rodyklės gali būti perrašytos; arba sukelti kamino perpildymo būklę.

Ekspertas siūlo vartotojams sušvelninti problemą pakeisdamas savo virtualiųjų mašinų tinklo kortelę į AMD PCnet ar paravirtualizuotą tinklo adapterį arba vengdamas naudoti NAT.

„Kol bus užtaisytas„ VirtualBox “paketas, galite pakeisti virtualių mašinų tinklo kortelę į„ PCnet “(vieną) arba„ Paravirtualized Network “.