Недавно руски истраживач објавио је детаље о рањивости нула дана у ВиртуалБок-у који омогућава нападачу да изађе из виртуелне машине да изврши злонамерни код на главном оперативном систему.
Руски истраживач Сергеј Зелењук открио је нулту рањивост која директно утиче на верзију 5.2.20 Виртуал Бок-а, као и претходне верзије.
Откривена је ова рањивост би омогућио нападачу да побегне из виртуелне машине (гостујући оперативни систем) и пређите на Ринг 3, тако да одатле можете користити постојеће технике за ескалацију привилегија и достизање оперативног система домаћина (кернел или ринг 0).
Према почетним детаљима откривања, проблем је присутан у заједничкој бази кодова софтвера за виртуелизацију, доступној на свим подржаним оперативним системима.
О рањивости Зеро-Даи откривеној у ВиртуалБок-у
Према текстуалној датотеци отпремљеној на ГитХуб, Истраживач из Санкт Петербурга Сергеи Зелениук, наишао на ланац грешака који могу да дозволе злонамерном коду да побегне са виртуелне машине ВиртуалБок (гостујући оперативни систем) и ради на основном оперативном систему (хосту).
Једном изван ВиртуалБок ВМ, злонамерни код ради у ограниченом корисничком простору оперативног система.
„Експлоатација је 100% поуздана“, рекао је Зелењук. „То значи да увек или никад не ради због неусклађених бинарних датотека или других суптилнијих разлога које нисам узео у обзир.“
Руски истраживач каже да зеро-даи утиче на све тренутне верзије ВиртуалБок-а, ради без обзира на хост или гост ОС да је корисник покренут и да му се верује према подразумеваним поставкама новостворених виртуелних машина.
Сергеи Зелениук, у потпуном неслагању са Орацловим одговором на њихов програм за додељивање грешака и тренутном „маркетингу рањивости“, такође је објавио видео са ПоЦ-ом који приказује 0-дневни акциони поступак против Убунту виртуелне машине која ради унутар ВиртуалБок-а на хостовном ОС-у такође из Убунту.
Зелениук показује детаље о томе како се грешка може искористити на конфигурисаним виртуелним машинама са мрежним адаптером „Интел ПРО / 1000 МТ Десктоп (82540ЕМ)“ у НАТ режиму. То је подразумевана поставка за све гостујуће системе за приступ спољним мрежама.
Како рањивост функционише
Према техничком водичу који је направио Зелениук, мрежни адаптер је рањив, омогућавајући нападачу са роот привилегијом / админом да побјегне у прстен хоста 3. Затим, користећи постојеће технике, нападач може повећати повластице прстена - путем / дев / вбокдрв.
«[Интел ПРО / 1000 МТ Десктоп (82540ЕМ)] има рањивост која омогућава нападачу са администраторским / роот привилегијама госта да побјегне у прстен хоста3. Тада нападач може користити постојеће технике да повећа привилегије за позивање 0 путем / дев / вбокдрв “, описује Зелениук у својој белој књизи од уторка.
Зелениук каже да је важан аспект разумевања начина на који рањивост функционише разумевање да се ручице обрађују пре дескриптора података.
Истраживач детаљно описује механизме који стоје иза безбедносне грешке, показујући како да се покрену услови неопходни да би се дошло до преливања међуспремника који би могао бити злоупотребљен да би се избегло ограничење виртуелног оперативног система.
Прво, изазвало је услов целог броја подлива помоћу дескриптора пакета - сегмената података који омогућавају мрежном адаптеру да прати мрежни пакетни податак у системској меморији.
Ово стање је искоришћено за читање података из гостујућег оперативног система у ме успремник и узрокује стање преливања које може довести до преписивања показивача на функцију; или да изазове стање преливања стека.
Стручњак сугерише да корисници ублаже проблем променом мрежне картице у својим виртуелним машинама у АМД ПЦнет или паравиртуализовани мрежни адаптер или избегавањем употребе НАТ-а.
„Док закрпљена верзија ВиртуалБок не изађе, мрежну картицу виртуелних машина можете променити у ПЦнет (било једну) или паравиртуализовану мрежу.
Превише напредан и технички за мој мозак ... Једва разумем четвртину терминологије коју користи.
Па, главни проблем је што многи са Линуком користе ВиртуалБок да би имали Виндовс, а испоставило се да Виндовс 7 нема управљачки програм за картице које стручњак саветује да се стави, и још горе, ако траже ПЦнет управљачки програм на мрежи се чини да Ако га анализирате помоћу вирустотал-а или било ког другог и добијете 29 позитивних вируса, видећете како ће га неко инсталирати.