Un investigador de seguridad ruso harto del estado actual de infosec ha publicado detalles sobre una vulnerabilidad de día cero que afecta al popular software de máquina virtual de Oracle VirtualBox sin informar primero a la compañía.

El investigador Sergey Zelenyuk, con sede en San Petersburgo, descubrió una cadena de errores que pueden permitir que el código malicioso se escape de una máquina virtual VirtualBox y se ejecute en el sistema operativo host.

Una vez que el código se ha escapado de la VM VirtualBox, se ejecuta en el espacio de usuario limitado del sistema operativo en el anillo del kernel 3. Sin embargo, Zelenyuk observó que los atacantes podrían hacer uso de errores de escalación privados conocidos para obtener acceso a nivel de kernel en el anillo cero.

Él proporcionó más detalles en el archivo de texto que detalla la vulnerabilidad de día cero que cargó en GitHub a ZDNet, diciendo:

"El exploit es 100% confiable. Significa que funciona siempre o nunca debido a binarios no coincidentes u otras razones más sutiles que no tuve en cuenta".

Alcance y severidad de la vulnerabilidad.

Según Zelenyuk, la vulnerabilidad de día cero afecta a todas las versiones actuales de VirtualBox y puede ejecutarse independientemente del host o sistema operativo invitado que esté ejecutando un usuario. También es confiable contra la configuración predeterminada de máquinas virtuales recién creadas.

Si bien el día cero no se considera una amenaza para los entornos de alojamiento en la nube porque usan un hipervisor de Tipo 1 en lugar del hipervisor de Tipo 2 que usa Virtual Box, los investigadores de seguridad están preocupados porque el software VM de Oracle se usa regularmente para el análisis de malware y Ingeniería inversa.

Los creadores de malware podrían integrar la cadena de exploits del día cero dentro de las cepas de malware con la intención de escapar de las máquinas virtuales de VirtualBox e infectar los sistemas operativos de los investigadores..

El investigador de seguridad de Tripwire, Craig Young, proporcionó más información sobre la vulnerabilidad de día cero, y dijo:

“La vulnerabilidad está en la implementación de un adaptador de red virtual compatible con Intel E1000. El informe muestra cómo un atacante con permisos para cargar módulos del kernel de Linux en un entorno de invitado de Virtual Box puede lograr una ejecución de código de bajo privilegio en el sistema operativo host, que puede ser elevado para obtener acceso administrativo al host. Cualquier persona que use Virtual Box para acceder a contenido no confiable (por ejemplo, analistas de malware) debe revisar inmediatamente sus perfiles de máquina y al menos suspender temporalmente el uso del dispositivo E1000 a favor del adaptador PCNET. Los usuarios deben evitar ejecutar aplicaciones que no sean confiables en cualquier entorno de Virtual Box con E1000 habilitado hasta que Oracle pueda lanzar una solución.”

A través de ZDNet

  • También hemos destacado el mejor antivirus.