• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    0-day de VirtualBox permite ejecutar código en el host
    07/11/2018
    =============================================
    CVE-
    Fecha de lanzamiento: 07/11/2018
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    El investigador Sergey Zelenyuk, indignado con la respuesta de Oracle en su programa de bug bounty, ha publicado información acerca de una vulnerabilidad 0-Day en VirtualBox

    INFORMACIÓN
    --------------------------------------------------------------------------------

    VirtualBox es un software de virtualización para arquitecturas x86/x64, creado originalmente por la empresa alemana innotek GmbH. Actualmente es desarrollado por Oracle Corporation. Con esta aplicación es posible instalar sistemas operativos adicionales, conocidos como “Sistemas Invitados”, dentro de otro sistema operativo “Anfitrión”, cada uno con sus recursos virtuales.
    Entre los sistemas operativos que soportada el modo anfitrión se encuentran GNU/Linux, Mac OS X, OS/2 Warp , Microsoft Windows, y Solaris/OpenSolaris, dentro de estos es posible virtualizar los sistemas operativos FreeBSD, GNU/Linux, OpenBSD, OS/2 Warp, Windows, Solaris, MS-DOS, entre muchos otros.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    Esta no es la primera divulgación de vulnerabilidad del investigador Sergey Zelenyuk en VirtualBox. A principios de este año, reportó otro error de seguridad en la versión 5.2.10 y lo informó de manera responsable. Sin embargo, por alguna razón, Oracle solucionó el problema silenciosamente en la versión 5.2.18 de su software de virtualización de hardware y no le dio crédito al investigador por encontrar y reportar la vulnerabilidad.

    Ahora, Sergey, en total desacuerdo con la respuesta de Oracle, ha publicado también un video con la PoC que muestra el 0-day en acción contra una máquina virtual de Ubuntu que se ejecuta dentro de VirtualBox en un sistema operativo host también de Ubuntu.

    El código publicado permite a un atacante escapar literalmente de un máquina virtual y ejecutar código en ring 3 en el host. Luego se pueden usar las tradicionales técnicas para escalar privilegios a ring 0 vía /dev/vboxdrv.

    La vulnerabilidad es un buffer overflow que se provoca en el proceso de escritura de los descriptores Tx a la tarjeta de red. El único requisito es tener configurado la VM con el adaptador de red Intel PRO/1000 MT Desktop (82540EM) en modo NAT, que es la configuración por defecto que trae VirtualBox.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    VirtualBox 5.2.20 y versiones anteriores. Cualquier SO en la máquina virtual y en el host son vulnerables.

    SOLUCIÓN
    --------------------------------------------------------------------------------

    En el propio repositorio de Github hay más detalles sobre la vulnerabilidad además de un apartado sobre cómo defenderse: https://github.com/MorteNoir1/virtualbox_e1000_0day/
    Todavía no hay un parche de VirtualBox, así que mientras tanto podemos cambiar la tarjeta de red de nuestras máquinas virtuales a cualquiera de las dos de PCnet o Paravirtualized Network.

    FUENTE
    --------------------------------------------------------------------------------

    https://www.segu-info.com.ar/