Недавно российский исследователь раскрыл подробности уязвимости нулевого дня в VirtualBox который позволяет злоумышленнику выйти из виртуальной машины для выполнения вредоносного кода в операционной системе хоста.
Российский исследователь Сергей Зеленюк обнаружил уязвимость нулевого дня, которая напрямую затрагивает версию 5.2.20 Virtual Box, а также предыдущие версии.
Эта уязвимость обнаружена позволит злоумышленнику сбежать с виртуальной машины (гостевая операционная система) и перейти к кольцу 3, чтобы оттуда вы могли использовать существующие методы для повышения привилегий и доступа к операционной системе хоста (ядро или кольцо 0).
Согласно первоначальным деталям раскрытия, проблема присутствует в общей кодовой базе программного обеспечения виртуализации, доступной во всех поддерживаемых операционных системах.
Об уязвимости Zero-Day, обнаруженной в VirtualBox
Согласно текстовому файлу, загруженному на GitHub, Исследователь из Санкт-Петербурга Сергей Зеленюк, обнаружил цепочку ошибок, которые могут позволить вредоносному коду ускользнуть из виртуальной машины VirtualBox (гостевая операционная система) и работает в базовой операционной системе (хосте).
Оказавшись вне виртуальной машины VirtualBox, вредоносный код запускается в ограниченном пользовательском пространстве операционной системы.
«Эксплойт на 100% надежен», - сказал Зеленюк. «Это означает, что он всегда или никогда не работает из-за несовпадения двоичных файлов или других более тонких причин, которые я не принимал во внимание».
Русский исследователь говорит, что нулевой день влияет на все текущие версии VirtualBox, он работает независимо от хоста или гостевой ОС что пользователь работает, и ему доверяют настройки по умолчанию вновь созданных виртуальных машин.
Сергей Зеленюк, полностью не согласный с реакцией Oracle на их программу вознаграждения за ошибки и текущим «маркетингом» уязвимостей, также опубликовал видео с PoC, показывающее действие 0-day против виртуальной машины Ubuntu, которая работает внутри VirtualBox на ОС хоста также из Ubuntu.
Зеленюк показывает подробности того, как можно использовать ошибку на настроенных виртуальных машинах с сетевым адаптером Intel PRO / 1000 MT Desktop (82540EM) в режиме NAT. Это настройка по умолчанию для всех гостевых систем для доступа к внешним сетям.
Как работает уязвимость
Согласно техническому руководству Зеленюка, сетевой адаптер уязвим, что позволяет злоумышленнику с привилегиями root / admin уйти в кольцо хоста 3. Затем, используя существующие методы, злоумышленник может повысить привилегии Ring - через / dev / vboxdrv.
«[Intel PRO / 1000 MT Desktop (82540EM)] имеет уязвимость, которая позволяет злоумышленнику с правами администратора / суперпользователя на гостевой системе уйти в кольцо хоста3. Затем злоумышленник может использовать существующие методы для увеличения привилегий для вызова 0 через / dev / vboxdrv », - описывает Зеленюк в своем официальном документе во вторник.
Зеленюк говорит, что важным аспектом понимания того, как работает уязвимость, является понимание того, что дескрипторы обрабатываются до дескрипторов данных.
Исследователь подробно описывает механизмы, лежащие в основе бреши в безопасности, показывая, как запускать условия, необходимые для получения переполнения буфера, которым можно злоупотреблять, чтобы избежать ограничений виртуальной операционной системы.
Во-первых, это вызвало целочисленное состояние недостаточного заполнения из-за использования дескрипторов пакетов - сегментов данных, которые позволяют сетевому адаптеру отслеживать данные сетевого пакета в системной памяти.
Это состояние было использовано для чтения данных из гостевой операционной системы в буфер кучи и вызвало состояние переполнения, которое могло привести к перезаписи указателей функций; или вызвать состояние переполнения стека.
Эксперт предлагает пользователям смягчить проблему, заменив сетевую карту в своих виртуальных машинах на AMD PCnet или паравиртуализированный сетевой адаптер, либо отказавшись от использования NAT.
«Пока не будет выпущена исправленная сборка VirtualBox, вы можете изменить сетевую карту своих виртуальных машин на PCnet (либо) или паравиртуализированную сеть.
Слишком продвинутый и технический для моего мозга ... Я едва понимаю четверть используемой в нем терминологии.
Ну, основная проблема в том, что многие с Linux используют VirtualBox для установки Windows, и оказывается, что в Windows 7 нет драйвера для карт, который советует поставить эксперт, и даже хуже, если вы ищете драйвер PCnet онлайн, кажется, что если вы проанализируете его с помощью virustotal или любого другого, вы получите 29 вирусов, вы увидите, как кто-то его установит.