Noll
En rysk säkerhet forskare har publicerat information om en noll-dag sårbarhet påverkar VirtualBox, en Oracle-programvara för att köra virtuella maskiner.
Enligt en text-fil som laddas upp på GitHub, Saint Petersburg-baserade forskare Sergey Zelenyuk har hittat en kedja av buggar som gör att skadlig kod för att fly VirtualBox virtuella maskinen (guest OS) och köra på den underliggande (host) – operativsystemet.
Väl ute ur VM VirtualBox, skadlig kod körs i OS’ begränsad implementation (kernel ring 3), men Zelenyuk sade att angriparna kan använda många av de redan kända utökning av privilegier buggar för att få kernel-nivå fi (ring 0).
“Utnyttja är 100% pålitlig,” Zelenyuk sagt. “Det betyder att det antingen fungerar alltid eller aldrig på grund av inkompatibla binärfiler eller andra, mer subtila orsaker jag inte konto.”
Ryska forskare säger zero-day påverkar alla aktuella VirtualBox släpper, fungerar oberoende av värd eller gäst operativsystem användaren är igång och att den är tillförlitlig mot standard konfiguration av nyskapade VMs.
Förutom en detaljerad skriva upp hela utnyttja kedja, Zelenyuk har också publicerat video bevis, som visar noll-dag i aktion mot en Ubuntu-VM kör inne i VirtualBox på en Ubuntu värd för OS.
Zero-day är inte utgöra ett hot mot cloud hosting miljöer, som också är starkt beroende av virtuella maskiner. De flesta cloud computing-tjänster använder en Typ-1 (native) hypervisor-som körs direkt på servern hårdvara– för att hantera virtuella maskiner. VirtualBox är en Typ-2 hypervisor, som det går ett VM (guest OS) i en redan kör OS (host OS).
Sårbarheten har säkerhetsforskare panik eftersom VirtualBox är en av de mest populära VM-program som ska användas som dag-till-dag-malware analys och reverse engineering.
Många har uttryckt oro för att skadlig kod kan bädda zero-day exploit kedja inne malware stammar som sedan kommer att kunna fly VirtualBox VMs och infektera forskarens huvudsakliga operativsystem med skadlig kod, som payback.
Dagens zero-day lämnas ut även den andra virtuella maskinen att undgå att Zelenyuk har upptäckt påverkar VirtualBox. Han har hittat och rapporterat ett liknande problem i mitten av 2017, som Oracle tog över 15 månader för att fixa.
Denna långa och utdragna lapp process verkar ha retat upp Zelenyuk, som istället för att rapportera detta fel till Oracle, har beslutat sig för att publicera information på nätet utan att meddela säljaren. Att veta att hans beslut skulle bli kritiserad, Zelenyuk erbjuds följande skäl för att ta detta lite kontroversiella steg:
Jag gillar VirtualBox och det har ingenting att göra med varför jag publicerar en 0day sårbarhet. Anledningen är mitt missnöje med moderna staten infosec, särskilt av forskning om säkerhet och bug bounty:
1) Vänta ett halvår tills en sårbarhet är lappat anses vara bra.
2) I bug bounty field dessa anses fina:
jag) Vänta mer än en månad tills en in sårbarhet är kontrollerade och ett beslut att köpa eller inte köpa är gjord.
ii) Ändra beslutet om att flyga. Idag du har listat ut bug bounty programmet kommer att köpa fel i en programvara, en vecka senare du kommer med buggar och utnyttjar och får “inte intresserad”.
iii) Har inte en exakt lista på program som är en bug bounty är intresserad av att köpa fel i. Praktiskt för fel skottpengar, krångligt för forskare.
iv) Har inte exakt nedre och övre gränserna av sårbarhet priser. Det finns många saker som påverkar priset, men forskare behöver veta vad som är värt att arbeta på och vad som inte är det.
3) Vanföreställningar av storheten och marknadsföring skitsnack: namngivning sårbarheter och skapa webbplatser för dem, att göra ett tusen konferenser i ett år, överdriver betydelsen av det egna arbetet som en säkerhet forskare, som anser sig själv “världens frälsare”. Kom ner, ers Höghet.
Jag är utmattad av de två första, därför mitt drag är fullständig redovisning. Infosec, vänligen gå framåt.
Relaterade täckning:
Brister i self-encrypting Ssd låt angripare att kringgå disk kryptering
Hackare är i allt större utsträckning förstör loggar för att dölja attackerGoogles automatiska fuzz bot har hittat över 9 000 buggar under de senaste två åren
Google kommer inte att låta dig logga in om du stängt av JavaScript i din webbläsare förCisco zero-day utnyttjas i det vilda för att krascha och ladda enheter
IBM för att köpa Red Hat för att avvärja Amazon, Google, Microsoft CNETMicrosoft kan vara världens största open source bidragsgivare TechRepublicBug bounty system avslöjar 150 sårbarheter i US Marine Corps webbplatserMicrosoft arbetar på att anpassa Sysinternals till Linux
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0