Investigador molesto reveló una vulnerabilidad de día cero en VirtualBox sin informar a Oracle

Un investigador supuestamente ha descubierto una vulnerabilidad de día cero en VirtualBox. Aunque descubrir errores de día cero no es algo distinto, lo que hace interesante este informe es que el investigador reveló la falla públicamente sin informar a los proveedores. Por lo tanto, es posible que no esperemos un parche pronto.

Vulnerabilidad de día cero en VirtualBox

Según se informa, el investigador ruso, Sergey Zelenyuk, descubrió una falla de seguridad en el VM VirtualBox de Oracle . Como se explicó, esta vulnerabilidad de día cero en VirtualBox puede permitir que un atacante con acceso de raíz escape del entorno virtual y obtenga acceso al sistema operativo subyacente.

Zelenyuk compartió sus hallazgos en una detallada reseña de Github que explica los aspectos técnicos de la explotación. Supuestamente probó el Intel PRO / 1000 MT Desktop (82540EM), al que llamó VirtualBox E1000. Según su informe,

“El E1000 tiene una vulnerabilidad que le permite a un atacante con privilegios de administrador / raíz en un invitado escapar a un anillo host3. Luego, el atacante puede usar las técnicas existentes para escalar privilegios para sonar 0 a través de / dev / vboxdrv “.

El investigador confirmó que la vulnerabilidad que encontró es confiable y explotable.

“El exploit es 100% confiable. Significa que funciona siempre o nunca debido a binarios no coincidentes u otras razones más sutiles que no tuve en cuenta. Funciona al menos en Ubuntu 16.04 y 18.04 x86_64 invitados con configuración predeterminada “.

También ha demostrado el exploit en un video.

No se hizo divulgación responsable

Como explicó el investigador en su informe, no informó a Oracle de la vulnerabilidad antes de la divulgación. Justificó este acto llamándolo una reacción a su mala experiencia previa con Oracle. El año pasado, encontró y reportó una vulnerabilidad a Oracle que demoró alrededor de 15 meses para que los proveedores publicaran una solución.

Según sus hallazgos, el día cero afecta a VirtualBox 5.2.20 y versiones anteriores. Aunque Oracle lanzó una actualización de este software el 9 de noviembre de 2018 como VirtualBox 5.2.22 , no mencionó nada sobre una posible solución para este defecto de día cero. Esto significa que los proveedores todavía tienen que liberar una solución.

Hasta que haya un parche disponible, Zelenyuk recomienda algunas mitigaciones.

“Hasta que la construcción de VirtualBox parcheada esté fuera, puede cambiar la tarjeta de red de sus máquinas virtuales a PCnet (cualquiera de las dos) o a Red Paravirtualizada. Si no puedes, cambia el modo de NAT a otro. El primer camino es más seguro “.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.