Lỗ hổng Zero-day được tìm thấy trong VirtualBox

Gần đây một nhà nghiên cứu người Nga đã công bố chi tiết về lỗ hổng zero-day trong VirtualBox cho phép kẻ tấn công thoát khỏi máy ảo để thực thi mã độc trên hệ điều hành chủ.

Nhà nghiên cứu người Nga Sergey Zelenyuk đã phát hiện ra lỗ hổng zero-day ảnh hưởng trực tiếp đến phiên bản 5.2.20 của Virtual Box, cũng như các phiên bản trước.

Lỗ hổng bảo mật này đã được phát hiện sẽ cho phép kẻ tấn công thoát khỏi máy ảo (hệ điều hành khách) và chuyển sang Ring 3, để từ đó bạn có thể sử dụng các kỹ thuật hiện có để nâng cấp các đặc quyền và tiếp cận hệ điều hành chủ (hạt nhân hoặc vòng 0).

Theo chi tiết ban đầu của tiết lộ, sự cố xuất hiện trong một cơ sở mã dùng chung của phần mềm ảo hóa, có sẵn trên tất cả các hệ điều hành được hỗ trợ.

Giới thiệu về lỗ hổng Zero-Day được phát hiện trong VirtualBox

Theo một tệp văn bản được tải lên GitHub, Nhà nghiên cứu Sergey Zelenyuk ở Saint Petersburg, gặp một chuỗi lỗi có thể cho phép mã độc thoát khỏi máy ảo VirtualBox (hệ điều hành khách) và chạy trên hệ điều hành cơ bản (máy chủ).

Khi bên ngoài VirtualBox VM, mã độc sẽ chạy trong không gian người dùng hạn chế của hệ điều hành.

“Việc khai thác là đáng tin cậy 100%,” Zelenyuk nói. "Điều đó có nghĩa là nó hoạt động luôn hoặc không bao giờ vì các mã nhị phân không khớp hoặc các lý do khác tế nhị hơn mà tôi không tính đến."

Nhà nghiên cứu người Nga cho biết zero-day ảnh hưởng đến tất cả các phiên bản hiện tại của VirtualBox, nó hoạt động bất kể hệ điều hành máy chủ hoặc khách mà người dùng đang chạy và được tin cậy dựa trên cài đặt mặc định của máy ảo mới được tạo.

Sergey Zelenyuk, hoàn toàn không đồng ý với phản ứng của Oracle đối với chương trình tiền thưởng lỗi của họ và "tiếp thị" lỗ hổng bảo mật hiện tại, cũng đã đăng một video với PoC cho thấy 0 ngày hành động chống lại một máy ảo Ubuntu chạy bên trong VirtualBox trên một hệ điều hành chủ cũng từ Ubuntu.

Zelenyuk hiển thị chi tiết về cách có thể khai thác lỗi trên các máy ảo được cấu hình với bộ điều hợp mạng "Intel PRO / 1000 MT Desktop (82540EM)" ở chế độ NAT. Đây là cài đặt mặc định cho tất cả các hệ thống khách để truy cập mạng bên ngoài.

Cách thức hoạt động của lỗ hổng

Theo hướng dẫn kỹ thuật do Zelenyuk thực hiện, bộ điều hợp mạng dễ bị tấn công, cho phép kẻ tấn công có đặc quyền gốc / quản trị viên thoát đến máy chủ vòng 3. Sau đó, bằng cách sử dụng các kỹ thuật hiện có, kẻ tấn công có thể nâng cấp các đặc quyền của Ring - thông qua / dev / vboxdrv.

“[Máy tính để bàn Intel PRO / 1000 MT (82540EM)] có một lỗ hổng cho phép kẻ tấn công có đặc quyền quản trị viên / người chủ của một khách có thể thoát vào máy chủ lưu trữ3. Sau đó, kẻ tấn công có thể sử dụng các kỹ thuật hiện có để tăng đặc quyền gọi 0 qua / dev / vboxdrv, ”Zelenyuk mô tả trong whitepaper hôm thứ Ba.

zelenyuk cho biết một khía cạnh quan trọng của việc hiểu cách thức hoạt động của lỗ hổng là hiểu rằng các xử lý được xử lý trước bộ mô tả dữ liệu.

Nhà nghiên cứu mô tả chi tiết các cơ chế đằng sau lỗ hổng bảo mật, chỉ ra cách kích hoạt các điều kiện cần thiết để gây ra lỗi tràn bộ đệm có thể bị lạm dụng để thoát khỏi sự hạn chế của hệ điều hành ảo.

Đầu tiên, nó gây ra tình trạng thiếu số nguyên bằng cách sử dụng bộ mô tả gói - phân đoạn dữ liệu cho phép bộ điều hợp mạng theo dõi dữ liệu gói mạng trong bộ nhớ hệ thống.

Trạng thái này được khai thác để đọc dữ liệu từ hệ điều hành khách vào bộ đệm heap và gây ra tình trạng tràn có thể dẫn đến con trỏ hàm bị ghi đè; hoặc để gây ra tình trạng tràn ngăn xếp.

Chuyên gia đề nghị người dùng giảm thiểu vấn đề bằng cách thay đổi card mạng trong máy ảo của họ thành AMD PCnet hoặc bộ điều hợp mạng được ảo hóa hoặc bằng cách tránh sử dụng NAT.

“Cho đến khi bản dựng VirtualBox được vá lỗi ra mắt, bạn có thể thay đổi card mạng của máy ảo thành PCnet (một trong hai) hoặc Paravirtualized Network.