onlangs een Russische onderzoeker heeft de details vrijgegeven van een zero-day kwetsbaarheid in VirtualBox waarmee een aanvaller uit de virtuele machine kan breken om kwaadaardige code uit te voeren op het hostbesturingssysteem.
De Russische onderzoeker Sergey Zelenyuk ontdekte een zero-day-kwetsbaarheid die rechtstreeks van invloed is op versie 5.2.20 van Virtual Box, evenals eerdere versies.
Deze kwetsbaarheid gedetecteerd zou een aanvaller in staat stellen om aan de virtuele machine te ontsnappen (gastbesturingssysteem) en ga naar Ring 3, zodat je van daaruit bestaande technieken kunt gebruiken om privileges te escaleren om bij het hostbesturingssysteem (kernel of ring 0) te komen.
Volgens de eerste details van de onthulling is het probleem aanwezig in een gedeelde codebase voor virtualisatiesoftware, beschikbaar op alle ondersteunde besturingssystemen.
Over de Zero-Day-kwetsbaarheid die is gedetecteerd in VirtualBox
Volgens een tekstbestand geüpload naar GitHub, de in St. Petersburg gevestigde onderzoeker Sergey Zelenyuk, een reeks fouten gevonden waardoor schadelijke code kan ontsnappen uit de virtuele VirtualBox-machine (het gastbesturingssysteem) en draait op het onderliggende (host)besturingssysteem.
Eenmaal buiten de VirtualBox VM draait de kwaadaardige code in de beperkte gebruikersruimte van het besturingssysteem.
"De exploit is 100% betrouwbaar", zei Zelenyuk. "Het betekent dat het altijd of nooit werkt vanwege niet-overeenkomende binaire bestanden of andere subtielere redenen waar ik geen rekening mee heb gehouden."
De Russische rechercheur zegt dat zero-day alle huidige versies van VirtualBox beïnvloedt, werkt ongeacht het host- of gast-besturingssysteem dat de gebruiker draait, en is betrouwbaar tegen de standaardinstellingen van nieuw gemaakte virtuele machines.
Sergey Zelenyuk, die het sterk oneens is met de reactie van Oracle in zijn bug bounty-programma en met de huidige "marketing" van kwetsbaarheden, heeft ook een video gepost met de PoC die 0-day in actie laat zien tegen een virtuele Ubuntu-machine die wordt uitgevoerd in VirtualBox op een host besturingssysteem ook van Ubuntu.
Zelenyuk laat details zien over hoe de bug kan worden misbruikt op geconfigureerde virtuele machines met netwerkadapter "Intel PRO / 1000 MT Desktop (82540EM)" in NAT-modus. Dit is de standaardinstelling voor alle gastsystemen om toegang te krijgen tot externe netwerken.
Hoe de kwetsbaarheid werkt
Volgens de technische gids van Zelenyuk, De netwerkadapter is kwetsbaar, waardoor een aanvaller met het privilege root/admin kan ontsnappen naar hostring 3. Vervolgens kan de aanvaller met behulp van bestaande technieken de rechten van Ring escaleren – via /dev/vboxdrv.
"De [Intel PRO/1000 MT Desktop (82540EM)] heeft een kwetsbaarheid waardoor een aanvaller met admin/root-privileges op een gast kan ontsnappen naar een host3-ring. De aanvaller kan dan bestaande technieken gebruiken om de privileges te vergroten om 0 aan te roepen via /dev/vboxdrv", beschrijft Zelenyuk dinsdag in zijn whitepaper.
zelenjoek zegt dat een belangrijk aspect om te begrijpen hoe de kwetsbaarheid werkt, is te begrijpen dat contextbeschrijvingen worden verwerkt vóór gegevensbeschrijvingen.
De onderzoeker beschrijft de mechanismen achter de beveiligingsfout in detail en laat zien hoe de voorwaarden kunnen worden geactiveerd die nodig zijn om een bufferoverloop te verkrijgen die kan worden misbruikt om te ontsnappen aan de beperkingen van het virtuele besturingssysteem.
Ten eerste veroorzaakte het een integer underflow-conditie met behulp van pakketdescriptors: gegevenssegmenten waarmee de netwerkadapter netwerkpakketgegevens in het systeemgeheugen kan traceren.
Deze status werd misbruikt om gegevens van het gastbesturingssysteem in een heapbuffer te lezen en een overloop te veroorzaken die zou kunnen leiden tot het overschrijven van functieaanwijzers; of om een stack overflow te veroorzaken.
De expert stelt voor dat gebruikers het probleem verminderen door de netwerkkaart in hun virtuele machines te veranderen in AMD PCnet of een geparavirtualiseerde netwerkadapter of door het gebruik van NAT te vermijden.
“Totdat de gepatchte VirtualBox-build uit is, kunt u de netwerkkaart van uw virtuele machines wijzigen in PCnet (een van beide) of Paravirtualized Network.
Te geavanceerd en technisch voor mijn brein... Ik begrijp amper een kwart van de terminologie die je gebruikt.
Welnu, het grootste probleem is dat velen met linux VirtualBox gebruiken om Windows te hebben, en het blijkt dat Windows 7 geen stuurprogramma heeft voor de kaarten die de expert adviseert te plaatsen, en erger nog, als je op zoek bent naar het PCnet-stuurprogramma op internet lijkt er een dat als je het analyseert met virustotal of een ander virus, je 29 positieven krijgt, je zult zien hoe iemand het heeft geïnstalleerd.