Vo VirtualBoxe sa našla nulová zraniteľnosť

Nedávno ruský výskumník zverejnil podrobnosti o zraniteľnosti nulového dňa vo VirtualBoxe ktorá umožňuje útočníkovi ukončiť virtuálny stroj na vykonávanie škodlivého kódu v hostiteľskom operačnom systéme.

Ruský výskumník Sergey Zelenyuk objavil zraniteľnosť nulového dňa, ktorá priamo ovplyvňuje verziu 5.2.20 Virtual Boxu, ako aj predchádzajúce verzie.

Táto chyba zabezpečenia bola zistená by umožnilo útočníkovi uniknúť z virtuálneho stroja (hosťujúci operačný systém) a presuňte sa na Ring 3, aby ste odtiaľ mohli využiť existujúce techniky na eskaláciu privilégií a prístup k hostiteľskému operačnému systému (jadro alebo ring 0).

Podľa počiatočných podrobností zverejnenia sa problém nachádza v zdieľanej základni kódov virtualizačného softvéru, ktorá je k dispozícii vo všetkých podporovaných operačných systémoch.

O zraniteľnosti Zero-Day zistenej vo VirtualBoxe

Podľa textového súboru nahraného na GitHub, Výskumný pracovník z Petrohradu Sergey Zelenyuk, narazil na reťazec chýb, ktoré môžu umožniť únik škodlivého kódu z virtuálneho stroja VirtualBox (hosťovaný operačný systém) a beží na základnom operačnom systéme (hostiteľ).

Akonáhle sa ocitnete mimo VirtualBox VM, škodlivý kód sa spustí v obmedzenom užívateľskom priestore operačného systému.

„Využitie je stopercentne spoľahlivé,“ uviedol Zelenyuk. „Znamená to, že vždy alebo nikdy nefunguje z dôvodu nesúladu dvojhviezd alebo iných jemnejších dôvodov, ktoré som nezohľadnil.“

Ruský výskumník hovorí, že zero-day ovplyvňuje všetky súčasné verzie VirtualBoxu, funguje bez ohľadu na hostiteľský alebo hosťujúci OS že používateľ beží a je dôveryhodný oproti predvolenému nastaveniu novovytvorených virtuálnych strojov.

Sergey Zelenyuk, ktorý celkom nesúhlasí s reakciou spoločnosti Oracle na ich program odmien za chyby a súčasný „marketing“ zraniteľnosti, zverejnil aj video s PoC, v ktorom je 0-denná akcia proti virtuálnemu stroju Ubuntu, ktorá beží vo VirtualBoxe na hostiteľskom OS tiež z Ubuntu.

Zelenyuk zobrazuje podrobnosti o tom, ako možno chybu využiť na nakonfigurovaných virtuálnych počítačoch so sieťovým adaptérom „Intel PRO / 1000 MT Desktop (82540EM)“ v režime NAT. Je to predvolené nastavenie pre všetky hosťujúce systémy na prístup do externých sietí.

Ako funguje zraniteľnosť

Podľa technického sprievodcu spoločnosti Zelenyuk, sieťový adaptér je zraniteľný a umožňuje útočníkovi s oprávnením root administrátora uniknúť do hostiteľského kruhu 3. Potom pomocou existujúcich techník môže útočník eskalovať privilégiá Ring - cez / dev / vboxdrv.

„[Intel PRO / 1000 MT Desktop (82540EM)] má zraniteľnosť, ktorá umožňuje útočníkovi s oprávneniami správcu / root hosťa uniknúť do hostiteľského kruhu3. Potom môže útočník použiť existujúce techniky na zvýšenie privilégií na volanie 0 pomocou / dev / vboxdrv, “popisuje Zelenyuk vo svojej bielej knihe utorok.

zelenyuk hovorí, že dôležitým aspektom pochopenia toho, ako zraniteľnosť funguje, je pochopenie toho, že manipulácie sa spracovávajú pred deskriptormi údajov.

Vedec podrobne popisuje mechanizmy, ktoré stoja za bezpečnostnou chybou, a ukazuje, ako spustiť podmienky potrebné na získanie pretečenia medzipamäte, ktoré by bolo možné zneužiť na únik z obmedzenia virtuálneho operačného systému.

Najprv to spôsobilo podmienku pretečenia celého čísla pomocou deskriptorov paketov - dátových segmentov, ktoré umožňujú sieťovému adaptéru sledovať údaje sieťového paketu v systémovej pamäti.

Tento stav sa využíval na čítanie údajov z hosťujúceho operačného systému do medzipamäte haldy a na spôsobenie stavu pretečenia, ktoré by mohlo viesť k prepísaniu ukazovateľov funkcií; alebo spôsobiť stav pretečenia zásobníka.

Odborník navrhuje, aby používatelia zmiernili problém zmenou sieťovej karty vo svojich virtuálnych strojoch na AMD PCnet alebo paravirtualizovaný sieťový adaptér alebo nepoužívaním NAT.

„Kým nebude vydané opravené zostavenie VirtualBoxu, môžete zmeniť sieťovú kartu svojich virtuálnych počítačov na PCnet (buď) alebo Paravirtualized Network.