Nul
En russisk sikkerheds-forsker har offentliggjort oplysninger om en nul-dags sårbarhed, som påvirker VirtualBox, en Oracle-software program til at køre virtuelle maskiner.
I henhold til en tekst-fil, der uploades på GitHub, Sankt Petersborg-baserede forsker Sergey Zelenyuk har fundet en kæde af fejl, der kan give ondsindede kode for at undslippe VirtualBox virtual machine (guest OS) og udføre på den underliggende (host) – operativsystemet.
Én ud af VirtualBox VM, den ondsindede kode, der kører i OS’ begrænset userspace (kerne ring 3), men Zelenyuk sagde, at angriberne kan bruge mange af de allerede kendte rettighedsforøgelse fejl for at få kernel-niveau-adgang (ring-0).
“Den udnyttelse, der er 100% pålidelig,” Zelenyuk sagde. “Det betyder, at det enten arbejder altid eller aldrig på grund af uoverensstemmelse mellem binære filer eller andre, mere subtile grunde, jeg ikke hensyn til.”
Den russiske forsker siger, at zero-day påvirker alle nuværende VirtualBox-udgivelser, virker uanset vært eller gæst operativsystem brugeren kører, og er pålidelig mod standard konfiguration af nyoprettede Fos.
Ud over en detaljeret skrive-up af hele udnytte kæde, Zelenyuk har også offentliggjort en video bevis, som viser nul-dag i aktion mod en Ubuntu-VM, der kører inde i VirtualBox på en Ubuntu host OS.
Nul-dag er ikke som en trussel mod cloud hosting miljøer, som også i høj grad afhænger af virtuelle maskiner. De fleste cloud computing-tjenester bruger en Type-1 (native) hypervisor-som kører direkte på den server hardware– til at administrere de virtuelle maskiner. VirtualBox er en Type-2-hypervisor, som det kører i en VM (guest OS) inde i et allerede kører OS (host OS).
Sårbarheden har sikkerhed forskere at gå i panik, fordi VirtualBox er en af de mest populære VM-programmer, der anvendes til dag-til-dag malware, analyse og reverse engineering.
Mange har udtrykt bekymring for, at malware forfattere kan integrere zero-day exploit kæde inde malware stammer, der vil derefter være i stand til at undslippe VirtualBox Fos og inficere forskerens vigtigste operativsystemer med malware, som tilbagebetalingstid.
I dag er nul-dag, videregivelse er også den anden virtuel maskine flugt, der Zelenyuk har opdaget, at det påvirker VirtualBox. Han konstaterede og rapporterede om et lignende problem i midten af 2017, som Oracle tog over 15 måneder at lave.
Dette langvarig og langtrukken lappe proces ser ud til at have vred Zelenyuk, der i stedet for indberetning af denne fejl til Oracle, har besluttet at offentliggøre detaljer online, uden at anmelde det til sælger. At kende hans beslutning ville blive kritiseret, Zelenyuk tilbudt følgende grunde til at tage dette lidt kontroversielle trin:
Jeg kan lide VirtualBox, og det har intet at gøre med, hvorfor jeg offentliggør en 0 dage sårbarhed. Grunden er, at min uenighed med moderne stat infosec, især af sikkerhed, forskning og bug bounty:
1) Vente et halvt år, indtil en sårbarhed er lappet anses fint.
2) I bug bounty-området i disse anses for fint:
i) Vente mere end en måned, før et sendt sårbarhed er kontrolleret, og en beslutning om at købe eller ikke at købe er lavet.
ii) at Ændre beslutningen om at flyve. I dag du har fundet ud af bug bounty program vil købe bugs i software, uge senere du komme med bugs og exploits, og modtage “ikke interesseret”.
iii), som ikke Har en præcis liste af software en bug bounty er interesseret i at købe fejl i. Handy for fejl dusører, akavet for forskere.
iv) Har ikke præcise nedre og øvre grænse af sårbarhed priser. Der er mange ting, der påvirker en pris, men forskere har brug for at vide, hvad der er værd at arbejde på, og hvad der ikke er.
3) Illusion af storhed og markedsføring lort: navngivning sårbarheder og skabe hjemmesider for dem; at gøre en tusind konferencer i et år; overdriver betydningen af eget arbejde som en sikkerhedsekspert; i betragtning af dig selv”, en verdens frelser”. Kommer ned, deres Højhed.
Jeg er udmattet af de første to, er derfor min bevæge sig fuld offentlighed. Infosec, skal du flytte fremad.
Relaterede dækning:
Fejl i self-encrypting Ssd ‘ lad fjernangribere at omgå disk kryptering
Hackere er i stigende grad ødelægger logs til at skjule angrebGoogle ‘ s automatiserede fuzz bot har fundet på over 9.000 bugs i de seneste to år
Google vil ikke lade dig logge på, hvis du har deaktiveret JavaScript i din browserCisco nul-dag udnyttes i naturen til at gå ned, og læg enheder
IBM til at købe Røde Hat for at afværge Amazon, Google, Microsoft CNETkan Microsoft være verdens største open source bidragyder TechRepublicBug bounty ordning afdækker 150 sårbarheder i US Marine Corps hjemmesiderMicrosoft arbejder på portering Sysinternals til Linux
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0