En rysk säkerhetsforskare som är trött på det nuvarande läget infosec har publicerat detaljer om en nolldagars sårbarhet som påverkar Oracles populära virtuella maskinprogram VirtualBox utan att först informera företaget.

St Petersburg-baserade forskare Sergey Zelenyuk upptäckte en kedja av fel som kan tillåta skadlig kod att fly från en VirtualBox virtuell maskin och köras på värdoperativsystemet.

När koden har släppts ut ur VirtualBox VM, körs den i OS-begränsade användarutrymme på kärnringen 3. Däremot noterade Zelenyuk att angripare skulle kunna använda sig av kända privata eskaleringsfel för att få kärnnivååtkomst på ring noll.

Han gav mer information om textfilen som beskriver nolldagssårbarheten som han laddade upp på GitHub till ZDNet och sa:

"Utnyttjandet är 100% tillförlitligt. Det betyder att det antingen fungerar alltid eller aldrig på grund av felaktiga binärer eller andra, mer subtila anledningar jag inte gjorde."

Omfattning och svårighetsgrad av sårbarheten

Enligt Zelenyuk påverkar nolldags sårbarheten alla nuvarande VirtualBox-utgåvor och kan utföras oberoende av värd- eller gästoperativsystemet som en användare kör. Det är också tillförlitligt mot standardkonfigurationen av nyskapade VM.

Medan nolldagen inte anses vara ett hot mot molnvärdesmiljöer eftersom de använder en typ 1-hypervisor i motsats till typ 2-hypervisorn som används av Virtual Box, är säkerhetsforskare oroliga för att Oracles VM-programvara används regelbundet för skadlig analys och omvänd teknik.

Malware skapare kunde bädda in nolldagens exploateringskedja inne i malware-stammar med avsikt att det skulle komma undan VirtualBox VM och infektera forskarnas operativsystem.

Säkerhetsforskare vid Tripwire, Craig Young, gav ytterligare insikt om nolldagars sårbarhet och sade:

“Sårbarheten är vid implementeringen av en virtuell Intel E1000 kompatibel nätverksadapter. Skrivningen visar hur en angripare med behörigheter att ladda Linux-kärnmoduler i en virtuell boks gästmiljö kan uppnå lågpresterande kodkörning på värd-operativsystemet som sedan kan höjas för att få administrativ åtkomst till värden. Den som använder Virtual Box för att få tillgång till otillförlitligt innehåll (t.ex. malwareanalytiker) bör omedelbart granska sina maskinprofiler och sluta tillfälligt sluta använda E1000-enheten till förmån för PCNET-adaptern. Användare bör undvika att köra mindre än trovärdiga applikationer i en virtuell boxmiljö med E1000 aktiverad tills Oracle kan släppa en fix.”

Via ZDNet

  • Vi har också markerat det bästa antivirusprogrammet