เมื่อเร็ว ๆ นี้ นักวิจัยชาวรัสเซียเปิดเผยรายละเอียดของช่องโหว่ zero-day ใน VirtualBox ที่อนุญาตให้ผู้โจมตีออกจากเครื่องเสมือนเพื่อรันโค้ดที่เป็นอันตรายบนระบบปฏิบัติการโฮสต์
นักวิจัยชาวรัสเซีย Sergey Zelenyuk ค้นพบช่องโหว่ Zero-day ที่ส่งผลโดยตรงต่อ Virtual Box เวอร์ชัน 5.2.20เช่นเดียวกับเวอร์ชันก่อนหน้า
ตรวจพบช่องโหว่นี้ จะทำให้ผู้โจมตีสามารถหลบหนีจากเครื่องเสมือนได้ (ระบบปฏิบัติการแขก) และย้ายไปที่ Ring 3 เพื่อให้คุณสามารถใช้เทคนิคที่มีอยู่เพื่อเพิ่มสิทธิ์และเข้าถึงระบบปฏิบัติการโฮสต์ (เคอร์เนลหรือวงแหวน 0)
ตามรายละเอียดเบื้องต้นของการเปิดเผยปัญหานี้มีอยู่ในโค้ดเบสที่ใช้ร่วมกันของซอฟต์แวร์เวอร์ชวลไลเซชันซึ่งมีอยู่ในระบบปฏิบัติการที่รองรับทั้งหมด
เกี่ยวกับช่องโหว่ Zero-Day ที่ตรวจพบใน VirtualBox
ตามไฟล์ข้อความที่อัปโหลดไปยัง GitHubSergey Zelenyuk นักวิจัยจากเซนต์ปีเตอร์สเบิร์ก พบข้อผิดพลาดที่อาจทำให้โค้ดที่เป็นอันตรายหลุดออกจากเครื่องเสมือน VirtualBox (ระบบปฏิบัติการแขก) และทำงานบนระบบปฏิบัติการพื้นฐาน (โฮสต์)
เมื่ออยู่นอก VirtualBox VM โค้ดที่เป็นอันตรายจะทำงานในพื้นที่ผู้ใช้ที่ จำกัด ของระบบปฏิบัติการ
"การหาประโยชน์นั้นเชื่อถือได้ 100%" Zelenyuk กล่าว "หมายความว่ามันใช้งานได้ตลอดเวลาหรือไม่เคยทำงานเนื่องจากไบนารีที่ไม่ตรงกันหรือเหตุผลที่ละเอียดกว่าอื่น ๆ ที่ฉันไม่ได้คำนึงถึง"
นักวิจัยชาวรัสเซีย กล่าวว่า zero-day มีผลต่อ VirtualBox เวอร์ชันปัจจุบันทั้งหมดซึ่งทำงานได้ไม่ว่าโฮสต์หรือระบบปฏิบัติการของแขก ที่ผู้ใช้กำลังเรียกใช้และได้รับความเชื่อถือจากการตั้งค่าเริ่มต้นของเครื่องเสมือนที่สร้างขึ้นใหม่
Sergey Zelenyuk ไม่เห็นด้วยโดยสิ้นเชิงกับการตอบสนองของ Oracle ต่อโปรแกรมรางวัลบั๊กและช่องโหว่ในปัจจุบัน "การตลาด" ได้โพสต์วิดีโอที่มี PoC แสดงการดำเนินการ 0 วันกับเครื่องเสมือน Ubuntu ที่ทำงานภายใน VirtualBox บนโฮสต์ OS ด้วยเช่นกัน Ubuntu
Zelenyuk แสดงรายละเอียดวิธีการใช้ประโยชน์จากข้อบกพร่อง บนเครื่องเสมือนที่กำหนดค่าไว้ ด้วยอะแดปเตอร์เครือข่าย "Intel PRO / 1000 MT Desktop (82540EM)" ในโหมด NAT เป็นการตั้งค่าเริ่มต้นสำหรับระบบแขกทั้งหมดในการเข้าถึงเครือข่ายภายนอก
ช่องโหว่ทำงานอย่างไร
ตามคู่มือทางเทคนิคที่จัดทำโดย Zelenyuk อะแดปเตอร์เครือข่ายมีช่องโหว่ทำให้ผู้โจมตีที่มีสิทธิ์รูท / ผู้ดูแลระบบสามารถหลบหนีไปยังวงแหวนโฮสต์ 3 จากนั้นด้วยการใช้เทคนิคที่มีอยู่ผู้โจมตีสามารถเพิ่มสิทธิ์ของ Ring - ผ่าน / dev / vboxdrv
« [Intel PRO / 1000 MT Desktop (82540EM)] มีช่องโหว่ที่อนุญาตให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบ / ผู้เยี่ยมชมสามารถหลบหนีไปยังแหวนโฮสต์ได้ จากนั้นผู้โจมตีสามารถใช้เทคนิคที่มีอยู่เพื่อเพิ่มสิทธิ์ในการโทร 3 ผ่าน / dev / vboxdrv” Zelenyuk อธิบายในสมุดปกขาวของเขาเมื่อวันอังคาร
เซเลนยุก กล่าวว่าสิ่งสำคัญของการทำความเข้าใจวิธีการทำงานของช่องโหว่คือการเข้าใจว่าแฮนเดิลได้รับการประมวลผลก่อนตัวบอกข้อมูล
ผู้วิจัยอธิบายกลไกที่อยู่เบื้องหลังข้อบกพร่องด้านความปลอดภัยโดยละเอียดโดยแสดงวิธีการเรียกใช้เงื่อนไขที่จำเป็นในการทำให้บัฟเฟอร์ล้นซึ่งอาจถูกละเมิดเพื่อหลบหนีจากการ จำกัด ของระบบปฏิบัติการเสมือน
ประการแรกมันทำให้เกิดเงื่อนไข underflow จำนวนเต็มโดยใช้ตัวบอกแพ็กเก็ต - เซ็กเมนต์ข้อมูลที่อนุญาตให้อะแด็ปเตอร์เครือข่ายติดตามข้อมูลแพ็กเก็ตเครือข่ายในหน่วยความจำระบบ
สถานะนี้ถูกใช้เพื่ออ่านข้อมูลจากระบบปฏิบัติการของแขกไปยังฮีปบัฟเฟอร์และทำให้เกิดสภาวะโอเวอร์โฟลว์ที่อาจทำให้พอยน์เตอร์ของฟังก์ชันถูกเขียนทับ หรือทำให้เกิดสภาวะสแต็กล้น
ผู้เชี่ยวชาญแนะนำให้ผู้ใช้บรรเทาปัญหาโดยการเปลี่ยนการ์ดเครือข่ายในเครื่องเสมือนเป็น AMD PCnet หรืออะแดปเตอร์เครือข่ายแบบพาราเวิร์ตทัลไลซ์หรือหลีกเลี่ยงการใช้ NAT
“ จนกว่าโครงสร้าง VirtualBox ที่ได้รับการแก้ไขจะหมดลงคุณสามารถเปลี่ยนการ์ดเครือข่ายของเครื่องเสมือนเป็น PCnet (อย่างใดอย่างหนึ่ง) หรือ Paravirtualized Network
สมองของฉันก้าวหน้าและมีเทคนิคมากเกินไป ... ฉันแทบไม่เข้าใจคำศัพท์ที่ใช้
ปัญหาหลักคือหลายคนที่ใช้ Linux ใช้ VirtualBox เพื่อมี Windows และปรากฎว่า Windows 7 ไม่มีไดรเวอร์สำหรับการ์ดที่ผู้เชี่ยวชาญแนะนำให้ใส่และที่แย่กว่านั้นคือหากคุณมองหาไดรเวอร์ PCnet ออนไลน์ปรากฏว่าหากคุณวิเคราะห์ด้วย virustotal หรืออื่น ๆ คุณจะได้รับผลบวก 29 ไวรัสคุณจะเห็นว่ามีคนติดตั้งอย่างไร