VirtualBox zero-day pubblicato da scontenti ricercatore

0
103

Zero

vb.png

Un russo, ricercatore di sicurezza ha pubblicato i dettagli di una vulnerabilità zero-day che interessano VirtualBox, Oracle software di applicazione per l’esecuzione di macchine virtuali.

Secondo un file di testo caricato su GitHub, San Pietroburgo, a base di ricercatore Sergey Zelenyuk ha trovato una catena di problemi che si possono permettere di codice dannoso per sfuggire alla macchina virtuale VirtualBox (la guest OS) e l’esecuzione sul sottostante (host) del sistema operativo.

Una volta fuori dalla VM VirtualBox, il codice dannoso viene eseguito sul sistema operativo’ limitata in userspace (kernel ring 3), ma Zelenyuk ha detto che gli aggressori possono utilizzare molti dei già noti privilege escalation bug per ottenere a livello di kernel di accesso (ring 0).

“L’exploit è affidabile al 100%,” Zelenyuk detto. “Vuol dire che o funziona sempre o mai, a causa di mancata corrispondenza dei binari o altri, più sottili motivi non ho account”.

Il ricercatore russo dice che il giorno zero colpisce tutte le attuali versioni di VirtualBox, funziona indipendentemente dall’host o guest sistema operativo è in esecuzione, ed è affidabile contro la configurazione di default di nuova creazione macchine virtuali.

Oltre a una dettagliata write-up dell’intero sfruttare catena, Zelenyuk ha anche pubblicato un video di prova, mostrando la zero-day in azione contro un Ubuntu VM in esecuzione all’interno di VirtualBox su Ubuntu sistema operativo host.

Il giorno zero, non è considerato una minaccia per il cloud hosting di ambienti, che, inoltre, dipendono più macchine virtuali. La maggior parte dei servizi di cloud computing utilizzare un Tipo-1 (nativo) hypervisor — che viene eseguito direttamente sul server, hardware– per gestire le macchine virtuali. VirtualBox è un Tipo-2 hypervisor, come funziona una macchina virtuale (guest OS) all’interno di un già-in esecuzione OS (sistema operativo host).

La vulnerabilità di sicurezza ricercatori nel panico perché VirtualBox è uno dei più popolari applicazioni VM utilizzato per il giorno per giorno l’analisi del malware e reverse engineering.

Molti hanno espresso la preoccupazione che gli autori di malware in grado di incorporare il zero-day exploit catena all’interno di ceppi di malware che sarà quindi in grado di sfuggire VirtualBox VMs e di infettare il ricercatore principale di sistemi operativi con malware, come ricompensa.

Oggi zero-day divulgazione è anche la seconda macchina virtuale di fuga che Zelenyuk ha scoperto che interessano VirtualBox. Ha trovato e segnalato un problema simile in metà del 2017, che Oracle ha preso più di 15 mesi per risolvere.

Questo lungo e articolato processo di patch sembra aver fatto arrabbiare Zelenyuk, che invece di segnalare questo bug di Oracle, ha deciso di pubblicare online senza avvisare il venditore. Sapendo che la sua decisione sarebbe criticato, Zelenyuk offerti i seguenti motivi per prendere questo un po ‘ controverso passaggio:

Mi piace VirtualBox e non ha nulla a che fare con il motivo di pubblicare una vulnerabilità 0day. Il motivo è il mio disaccordo con stato contemporaneo di infosec, soprattutto di ricerca in materia di sicurezza e bug bounty:

    1) Attendere un anno e mezzo fino a vulnerabilità è la patch è considerato bene.

    2) il bug bounty campo sono considerate belle:

      i) Attendere più di mese fino a un inviato di vulnerabilità è verificato, la decisione di comprare o non comprare.

      ii) Modifica la decisione al volo. Oggi hai scoperto il bug bounty program comprare bug in un software, settimana dopo si sono dotate di bug ed exploit e ricevere “non è interessato”.

      iii) non Hanno un preciso elenco di software un bug bounty è interessato a comprare i bug. Utile per il bug di taglie, imbarazzante per i ricercatori.

      iv) non Sono precisi limiti inferiore e superiore di vulnerabilità prezzi. Ci sono molte cose che influenzano un prezzo, ma i ricercatori hanno bisogno di sapere che cosa è la pena di lavorare su ciò che non lo è.

      3) Delirio di grandezza e di marketing di stronzate: denominazione della vulnerabilità e la creazione di siti web per loro; fare un migliaio di conferenze in un anno; esagerando importanza del proprio lavoro come un ricercatore di sicurezza; visto te “un salvatore del mondo”. Vieni giù, Vostra Altezza.

      Sono stanca dei primi due, quindi la mia mossa è compattato. Infosec, si prega di andare avanti.

      Relativi copertura:

      Difetti self-encrypting drive Ssd di lasciare gli attaccanti bypassare la crittografia del disco
      Gli hacker sono sempre più distruggendo i registri per nascondere gli attacchidi Google automatizzato fuzz bot ha trovato oltre 9.000 bug negli ultimi due anni
      Google non permette di accedere se hai disabilitato JavaScript nel tuo browserCisco zero-day sfruttata per crash e ricaricare i dispositivi
      IBM acquistare Red Hat per scongiurare Amazon, Google, Microsoft CNET,Microsoft può essere il più grande del mondo open source collaboratore TechRepublicBug bounty schema scopre 150 vulnerabilità in US Marine Corps siti webMicrosoft a lavorare sul porting di Sysinternals per Linux

      Argomenti Correlati:

      Di sicurezza, TV

      La Gestione Dei Dati

      CXO

      Centri Dati

      0