geçenlerde Rus bir araştırmacı VirtualBox'taki sıfır gün güvenlik açığının ayrıntılarını yayınladı Bu, bir saldırganın ana bilgisayar işletim sisteminde kötü amaçlı kod yürütmek için sanal makineden çıkmasına olanak tanır.
Rus araştırmacı Sergey Zelenyuk, Virtual Box'ın 5.2.20 sürümünü doğrudan etkileyen bir sıfır gün güvenlik açığı keşfettive önceki sürümler.
Bu güvenlik açığı tespit edildi bir saldırganın sanal makineden kaçmasına izin verir (konuk işletim sistemi) ve 3. Halka'ya geçin, böylece oradan ayrıcalıkları artırmak ve ana bilgisayar işletim sistemine (çekirdek veya halka 0) ulaşmak için mevcut teknikleri kullanabilirsiniz.
Açıklamanın ilk ayrıntılarına göre, sorun, desteklenen tüm işletim sistemlerinde mevcut olan sanallaştırma yazılımının paylaşılan bir kod tabanında mevcuttur.
VirtualBox'ta tespit edilen Zero-Day güvenlik açığı hakkında
GitHub'a yüklenen bir metin dosyasına göre, Saint Petersburg merkezli araştırmacı Sergey Zelenyuk, Kötü amaçlı kodun VirtualBox sanal makinesinden çıkmasına izin verebilecek bir hata zinciriyle karşılaştı (konuk işletim sistemi) ve temeldeki işletim sisteminde (ana bilgisayar) çalışır.
VirtualBox VM'nin dışına çıktıktan sonra, kötü amaçlı kod, işletim sisteminin sınırlı kullanıcı alanında çalışır.
Zelenyuk, "İstismar% 100 güvenilirdir." Dedi. "Bu, uyumsuz ikili dosyalar veya hesaba katmadığım diğer ince nedenlerden dolayı her zaman veya hiçbir zaman çalıştığı anlamına gelir."
Rus araştırmacı sıfır günün, VirtualBox'ın tüm mevcut sürümlerini etkilediğini söylüyor, ana bilgisayar veya konuk işletim sisteminden bağımsız olarak çalışıyor kullanıcının çalıştığı ve yeni oluşturulan sanal makinelerin varsayılan ayarlarına göre güvenilir olduğu.
Sergey Zelenyuk, Oracle'ın hata ödül programına verdiği yanıta ve mevcut güvenlik açığı "pazarlamasına" tamamen itiraz ederek, PoC'nin bir Ubuntu sanal makinesine karşı 0 günlük eylemi gösteren bir video da yayınladı. Ubuntu'dan bir ana işletim sistemi üzerinde VirtualBox içinde çalışır.
Zelenyuk, hatadan nasıl yararlanılabileceğinin ayrıntılarını gösteriyor yapılandırılmış sanal makinelerde "Intel PRO / 1000 MT Masaüstü (82540EM)" ağ bağdaştırıcısı ile NAT modunda. Tüm konuk sistemlerin harici ağlara erişmesi için varsayılan ayardır.
Güvenlik açığı nasıl çalışır?
Zelenyuk tarafından yapılan teknik rehbere göre, ağ bağdaştırıcısı savunmasızdır ve kök ayrıcalığına / yöneticisine sahip bir saldırganın ana bilgisayar halkası 3'e kaçmasına izin verir. Ardından, mevcut teknikleri kullanarak saldırgan, / dev / vboxdrv aracılığıyla Halka ayrıcalıklarını artırabilir.
«[Intel PRO / 1000 MT Masaüstü (82540EM)], bir konuk üzerinde yönetici / kök ayrıcalıklarına sahip bir saldırganın bir ana bilgisayar halkasına3 kaçmasına izin veren bir güvenlik açığına sahiptir. O zaman saldırgan, / dev / vboxdrv aracılığıyla 0'ı çağırma ayrıcalıklarını artırmak için mevcut teknikleri kullanabilir, ”diye açıklıyor Zelenyuk beyaz bülteninde.
zelenyuk güvenlik açığının nasıl çalıştığını anlamanın önemli bir yönü, işleyicilerin veri tanımlayıcılardan önce işlendiğini anlamaktır.
Araştırmacı, sanal işletim sisteminin sınırlamalarından kaçmak için kötüye kullanılabilecek bir arabellek taşması elde etmek için gerekli koşulların nasıl tetikleneceğini göstererek güvenlik açığının arkasındaki mekanizmaları ayrıntılı olarak açıklar.
Birincisi, paket tanımlayıcıları (ağ bağdaştırıcısının sistem belleğindeki ağ paketi verilerini izlemesine izin veren veri segmentleri) kullanarak tamsayı yetersiz akış durumuna neden oldu.
Bu durum, konuk işletim sisteminden bir yığın arabelleğine veri okumak ve işlev işaretçilerinin üzerine yazılmasına neden olabilecek bir taşma durumuna neden olmak için kullanıldı; veya yığın taşması durumuna neden olmak için.
Uzman, kullanıcıların sanal makinelerindeki ağ kartını AMD PCnet'e veya sanallaştırılmış bir ağ bağdaştırıcısına değiştirerek veya NAT kullanımından kaçınarak sorunu hafifletmelerini öneriyor.
"Yamalı VirtualBox yapısı bitene kadar, sanal makinelerinizin ağ kartını PCnet (bir tane) veya Paravirtualized Network olarak değiştirebilirsiniz.
Beynim için çok gelişmiş ve teknik ... Kullandığı terminolojinin dörtte birini zar zor anlıyorum.
Asıl sorun, Linux'lu birçok kişinin bir Windows'a sahip olmak için VirtualBox kullanmasıdır ve Windows 7'nin, uzmanın koymayı önerdiği kartlar için bir sürücüye sahip olmadığı ve daha da kötüsü, PCnet sürücüsünü çevrimiçi olarak ararsanız, biri görünür. Virüs toplamı veya başka herhangi bir şekilde analiz ederseniz, 29 virüs pozitif alırsanız, birinin onu nasıl yükleyeceğini göreceksiniz.