Un desarrollador de vulnerabilidades e investigador de vulnerabilidades independiente reveló públicamente una vulnerabilidad de día cero en VirtualBox —un popular software de virtualización de código abierto desarrollado por Oracle— que podría permitir que un programa malicioso escape de la máquina virtual (sistema operativo invitado) y ejecute código en el sistema operativo de la máquina host.

La vulnerabilidad se produce debido a problemas de corrupción de memoria y afecta a la tarjeta de red Intel PRO / 1000 MT Desktop (82540EM) (E1000) cuando el modo de red está configurado en NAT (Traducción de direcciones de red).

La falla es independiente del tipo de sistema operativo utilizado por las máquinas virtuales y de host porque reside en una base de código compartido.

Lanzamiento de VirtualBox Zero-Day Exploit y Demo Video

Sergey Zelenyuk publicó el miércoles una explicación técnica detallada de la falla de día cero en GitHub, que afecta a todas las versiones actuales (5.2.20 y anteriores) del software VirtualBox y está presente en la configuración predeterminada de la Máquina Virtual (VM).

Según Zelenyuk, la vulnerabilidad permite que un atacante o un programa malintencionado con derechos de administrador o raíz en el sistema operativo invitado pueda escapar y ejecutar código arbitrario en la capa de aplicación (anillo 3) del sistema operativo host, que se utiliza para ejecutar el código de la mayoría de los usuarios Programas con los menos privilegios.

Tras una explotación exitosa, el investigador cree que un atacante también puede obtener privilegios del kernel (anillo 0) en la máquina host al explotar otras vulnerabilidades.

«El E1000 tiene una vulnerabilidad que le permite a un atacante con privilegios de administrador / raíz en un invitado escapar a un anillo host 3. Luego, el atacante puede usar técnicas existentes para aumentar los privilegios para llamar al 0 a través de / dev / vboxdrv», dijo Zelenyuk.

Junto con los detalles de la vulnerabilidad de día cero, Zelenyuk también escribió la cadena de explotación completa y lanzó un video de demostración del ataque a Vimeo.

Aún no hay un parche de seguridad disponible, aquí está cómo protegerse

El investigador afirma que su hazaña es » 100% confiable «. Zelenyuk probó su vulnerabilidad en Ubuntu versión 16.04 y 18.04 x86-64 invitados, pero cree que la vulnerabilidad también funciona contra la plataforma Windows.

Si bien el exploit publicado por el investigador no es fácil de ejecutar, se proporcionan detalles completos sobre cómo ejecutarlo.

Zelenyuk decidió divulgar públicamente la vulnerabilidad de día cero y la vulnerabilidad debido a su «desacuerdo con [el] estado contemporáneo de infosec, especialmente de la investigación de seguridad y la recompensa de errores», que experimentó hace más de un año cuando reportó responsablemente otro defecto de VirtualBox. a Oracle.

El investigador también expresó su disgusto por el «engaño de la grandeza y la mentira del marketing» con el proceso de liberación de vulnerabilidades al «nombrar vulnerabilidades y crear sitios web para ellos», y los investigadores de seguridad se pusieron frente a «mil conferencias en un año».

Entonces, esta vez el investigador reveló públicamente la falla y, por lo tanto, aún no hay un parche disponible.

Sin embargo, hasta que se actualice, los usuarios pueden protegerse contra posibles ataques cibernéticos cambiando la tarjeta de red de sus «máquinas virtuales a PCnet (cualquiera de las dos) o a Paravirtualized Network».

Aunque el investigador destacó que el enfoque anterior es más seguro, en caso de que si no puede hacerlo, puede cambiar el modo de NAT a otro.

Fuente: Thehackernews.com

Compartir