Nolldagssårbarhet hittades i VirtualBox

nyligen en rysk forskare släppte detaljerna om en nolldagars sårbarhet i VirtualBox som gör det möjligt för en angripare att lämna den virtuella maskinen för att köra skadlig kod i värdoperativsystemet.

Den ryska forskaren Sergey Zelenyuk upptäckte en noll-dagars sårbarhet som direkt påverkar version 5.2.20 av Virtual Box, liksom tidigare versioner.

Denna sårbarhet upptäcktes skulle tillåta en angripare att fly från den virtuella maskinen (gästoperativsystem) och flytta till Ring 3, så att därifrån kan du använda befintliga tekniker för att eskalera privilegier och nå värdoperativsystemet (kärna eller ring 0).

Enligt de inledande detaljerna i avslöjandet är problemet närvarande i en delad kodbas av virtualiseringsprogramvaran, tillgänglig på alla operativsystem som stöds.

Om Zero-Day-sårbarheten som upptäcks i VirtualBox

Enligt en textfil uppladdad till GitHub, Sankt Petersburg-baserade forskare Sergey Zelenyuk, stött på en kedja av fel som kan tillåta att skadlig kod flyr från VirtualBox virtuella maskin (gästoperativsystemet) och körs på det underliggande operativsystemet (värd).

En gång utanför VirtualBox VM körs den skadliga koden i det begränsade användarutrymmet i operativsystemet.

"Utnyttjandet är 100% pålitligt", säger Zelenyuk. "Det betyder att det fungerar alltid eller aldrig på grund av felaktiga binära filer eller andra mer subtila skäl som jag inte tog hänsyn till."

Den ryska forskaren säger zero-day påverkar alla nuvarande versioner av VirtualBox, det fungerar oavsett värd eller gäst OS att användaren kör och litar på standardinställningarna för nyskapade virtuella maskiner.

Sergey Zelenyuk, i total oenighet med Oracles svar på deras bug bounty-program och nuvarande sårbarhet "marknadsföring", har också lagt upp en video med PoC som visar 0-dagars handling mot en virtuell Ubuntu-maskin som körs inuti VirtualBox på ett värd-operativsystem också från Ubuntu.

Zelenyuk visar detaljer om hur felet kan utnyttjas på konfigurerade virtuella maskiner med "Intel PRO / 1000 MT Desktop (82540EM)" nätverksadapter i NAT-läge. Det är standardinställningen för alla gästsystem att komma åt externa nätverk.

Hur sårbarheten fungerar

Enligt den tekniska guiden från Zelenyuk, nätverksadaptern är sårbar, vilket gör att en angripare med root-privilegium / admin kan fly till värdring 3. Med hjälp av befintliga tekniker kan angriparen sedan eskalera Ringprivilegier - via / dev / vboxdrv.

”[Intel PRO / 1000 MT Desktop (82540EM)] har en sårbarhet som gör det möjligt för en angripare med administratörs- / rootprivilegier på en gäst att fly till en värdring3. Då kan angriparen använda befintliga tekniker för att öka privilegierna att ringa 0 via / dev / vboxdrv, ”beskriver Zelenyuk i sin vitbok tisdag.

zelenyuk säger en viktig aspekt av att förstå hur sårbarheten fungerar är att förstå att handtag behandlas innan datadeskriptorer.

Forskaren beskriver mekanismerna bakom säkerhetsfelet i detalj och visar hur man utlöser de förutsättningar som krävs för att få ett buffertöverflöde som kan missbrukas för att undkomma det virtuella operativsystemets inneslutningar.

För det första orsakade det ett heltalsflödesvillkor genom att använda paketbeskrivare - datasegment som tillåter nätverksadaptern att spåra nätverkspaketdata i systemminnet.

Detta tillstånd utnyttjades för att läsa data från gästoperativsystemet i en högbuffert och orsaka ett överflödstillstånd som kan leda till att funktionspekare skrivs över. eller för att orsaka ett stacköverflödstillstånd.

Experten föreslår att användare mildrar problemet genom att ändra nätverkskortet i sina virtuella maskiner till AMD PCnet eller ett paravirtualiserat nätverkskort eller genom att undvika att använda NAT.

”Tills den korrigerade VirtualBox-versionen är slut kan du ändra dina virtuella dators nätverkskort till PCnet (antingen ett) eller Paravirtualized Network.