Faz pouco um pesquisador russo divulgou os detalhes de uma vulnerabilidade de dia zero no VirtualBox que permite que um invasor saia da máquina virtual para executar código malicioso no sistema operacional host.
O pesquisador russo Sergey Zelenyuk descobriu uma vulnerabilidade de dia zero que afeta diretamente a versão 5.2.20 do Virtual Box, bem como versões anteriores.
Esta vulnerabilidade detectada permitiria que um invasor escapasse da máquina virtual (sistema operacional convidado) e vá para o Anel 3, para que a partir daí você possa fazer uso das técnicas existentes para escalar privilégios e alcançar o sistema operacional host (kernel ou anel 0).
De acordo com os detalhes iniciais da divulgação, o problema está presente em uma base de código compartilhada do software de virtualização, disponível em todos os sistemas operacionais suportados.
Sobre a vulnerabilidade Zero-Day detectada no VirtualBox
De acordo com um arquivo de texto enviado ao GitHub, Pesquisador de São Petersburgo, Sergey Zelenyuk, encontrou uma cadeia de erros que pode permitir que códigos maliciosos escapem da máquina virtual VirtualBox (o sistema operacional convidado) e é executado no sistema operacional subjacente (host).
Uma vez fora do VirtualBox VM, o código malicioso é executado no espaço de usuário limitado do sistema operacional.
"O exploit é 100% confiável", disse Zelenyuk. "Isso significa que funciona sempre ou nunca por causa de binários incompatíveis ou outros motivos mais sutis que não levei em consideração."
O pesquisador russo diz que o dia zero afeta todas as versões atuais do VirtualBox, ele funciona independentemente do sistema operacional host ou convidado que o usuário está executando e é confiável em relação às configurações padrão de máquinas virtuais recém-criadas.
Sergey Zelenyuk, em total desacordo com a resposta da Oracle ao seu programa de recompensa de bug e vulnerabilidade atual "marketing", também postou um vídeo com o PoC mostrando 0-day em ação contra uma máquina virtual Ubuntu que roda dentro do VirtualBox em um sistema operacional host também do Ubuntu.
Zelenyuk mostra detalhes de como o bug pode ser explorado em máquinas virtuais configuradas com adaptador de rede "Intel PRO / 1000 MT Desktop (82540EM)" no modo NAT. É a configuração padrão para todos os sistemas convidados acessarem redes externas.
Como funciona a vulnerabilidade
De acordo com o guia técnico feito por Zelenyuk, o adaptador de rede é vulnerável, permitindo que um invasor com privilégio de root / admin escape para o anel de host 3. Então, usando as técnicas existentes, o invasor pode escalar os privilégios do Anel - via / dev / vboxdrv.
“O [Intel PRO / 1000 MT Desktop (82540EM)] tem uma vulnerabilidade que permite a um invasor com privilégios de administrador / root em um convidado escapar para um anel de host3. Em seguida, o invasor pode usar as técnicas existentes para aumentar os privilégios para chamar 0 via / dev / vboxdrv ”, Zelenyuk descreve em seu artigo na terça-feira.
zelenyuk diz que um aspecto importante para compreender como funciona a vulnerabilidade é entender que os identificadores são processados antes dos descritores de dados.
O pesquisador descreve os mecanismos por trás da falha de segurança em detalhes, mostrando como acionar as condições necessárias para obter um estouro de buffer que poderia ser abusado para escapar dos confinamentos do sistema operacional virtual.
Primeiro, ele causou uma condição de estouro negativo de inteiro usando descritores de pacote - segmentos de dados que permitem ao adaptador de rede rastrear dados de pacote de rede na memória do sistema.
Esse estado foi explorado para ler dados do sistema operacional convidado em um buffer de heap e causar uma condição de estouro que poderia levar à substituição dos ponteiros de função; ou para causar uma condição de estouro de pilha.
O especialista sugere que os usuários atenuem o problema mudando a placa de rede em suas máquinas virtuais para AMD PCnet ou um adaptador de rede paravirtualizado ou evitando o uso de NAT.
“Até que a versão corrigida do VirtualBox seja lançada, você pode alterar a placa de rede de suas máquinas virtuais para PCnet (qualquer uma) ou Rede Paravirtualizada.
Muito avançado e técnico para o meu cérebro ... Eu mal entendo um quarto da terminologia que ele usa.
Bem, o principal problema é que muitos com Linux usam o VirtualBox para ter um Windows, e acontece que o Windows 7 não tem um driver para as placas que o especialista aconselha colocar, e pior ainda, se você procurar o driver PCnet online, parece que Se você analisá-lo com o virustotal ou qualquer outro, obterá 29 vírus positivos, verá como alguém o instalará.