Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Zero-day zraniteľnosť vo VirtualBox umožňuje ovládnuť hostiteľský systém

08.11.2018
Vo virtualizačnom nástroji VirtualBox od Oracle pri nastavení virtuálnej sieťovej karty existuje zraniteľnosť, ktorá umožňuje preniknúť z virtuálneho systému do hosťovského a následne s využitím ďalších metód eskalovať privilégiá až na úroveň systému. To dovoľuje napríklad vzdialene vykonávať kód.

 

Dôsledky

  • Prienik z virtuálneho do hostiteľského systému, kde je možné zneužitím ďalších zraniteľností zvýšiť privilégiá a systém ovládnuť
  • Vzdialené vykonávanie ľubovoľného kódu

Opis činnosti
 

IT bezpečnostný výskumník Sergey Zelenyuk zverejnil zero-day zraniteľnosť vo virtualizačnom softvéri Oracle VirtualBox aj s postupom pre jej zneužitie. Útočníkovi umožňuje uniknúť zo sandboxu a preniknúť z virtuálneho do hostiteľského systému. Zraniteľnosť zverejnil predtým, ako ju oznámil firme Oracle, údajne z dôvodu neadekvátnej firemnej politiky ohľadom reakcie a odmeňovania za ohlásené zraniteľnosti.

Zraniteľnosť je možné zneužiť na virtuálnych systémoch s nastavením virtuálnej sieťovej karty na Intel PRO/1000 MT Desktop (82540EM) v NAT móde. Úspešný útočník s administrátorskými/root privilégiami vo virtuálnom systéme vie zneužitím chýb poškodenia pamäte preniknúť do chráneného režimu procesora Ring 3, teda režimu s minimálnymi privilégiami, kde štandardne bežia aplikácie. Následne môže použiť ďalšie techniky pre získanie prístupu do režimu Ring 0 cez /dev/vboxdrv, v ktorom beží operačný systém a niektoré ovládače. Takto môže napríklad dosiahnuť vzdialené vykonávanie kódu na hostiteľskom systéme prienikom z virtuálneho.

Zraniteľnosť je zneužiteľná vo všetkých súčasných verziách VirtualBox na všetkých podporovaných operačných systémoch a pre všetky virtuálne operačné systémy.

Zraniteľné systémy
VirtualBox (virtuálna sieťová karta Intel PRO/1000 MT Desktop (82540EM) v prednastavenom sieťovom móde NAT) pre všetky podporované OS

Závažnosť zraniteľnosti
Vysoká

Možné škody

  • Únik informácii
  • Vzdialené vykonávanie kódu

Odporúčania

  • V čase vydania tohto článku neexistovala opravná aktualizácia
  • Do vydania aktualizácie používať inú virtuálnu sieťovú kartu ako Intel PRO/1000 MT Desktop (82540EM)
  • Prípadne využívať iný mód ako NAT

Odkazy
https://github.com/MorteNoir1/virtualbox_e1000_0day
https://www.bleepingcomputer.com/news/security/virtualbox-zero-day-vulnerability-details-and-exploit-are-publicly-available/
https://www.zdnet.com/article/virtualbox-zero-day-published-by-disgruntled-researcher/
https://www.securityweek.com/researcher-drops-oracle-virtualbox-zero-day



<< zoznam oznámení