El investigador ruso Sergey Zelenyuk reportó vulnerabilidad 0-day en VirtualBox de desbordamiento de búfer
(buffer overflow), catalogada de Importancia: 4 - Alta
Recursos
afectados:
- VirtualBox versión 5.2.20 y anteriores.
La configuración de red debe ser Intel
PRO/1000 MT Desktop (82540EM) en modo NAT, configuración que trae por defecto
VirtualBox.
Recomendación
Por el momento no existen parches que
solucionen esta vulnerabilidad, es recomendable cambiar la configuración que
VirtualBox trae por defecto, en el apartado red, a PCnet o a red
paravirtualizada. En caso de que no sea posible cambiar esta configuración, se
debe cambiar el modo NAT por otro, pero la primera opción es la más segura.
Detalle
de vulnerabilidades
Debido a la configuración E1000, un
potencial atacante mediante el envío de una cadena de descriptores Tx
específicos, podría conseguir un desbordamiento de búfer (conocido como buffer
overflow), dando como resultado:
- Lectura de datos desde el invitado en un búfer de
almacenamiento dinámico.
- Copia de datos de una longitud específica al búfer
sin ninguna verificación.
Además, el exploit utilizado por
Zelenyuk hace uso del LKM para cargar un sistema operativo invitado. Como se requiere
escalada de privilegios para conseguir cargar el controlador en ambos sistemas,
se usan de cadenas de explotación ya publicadas. Estas cadenas explotan un navegador
que abre un sitio web malicioso en el sistema operativo invitado, el cual
consigue escapar de la sandbox para obtener acceso total al anillo 3 (nivel de
aplicación). Finalmente, y gracias a vulnerabilidades conocidas, se consigue la
escalada de privilegios para acceder al anillo 0 (nivel de kernel) donde está
todo lo necesario para atacar a un hipervisor desde el sistema operativo
invitado.
Más
información
- VirtualBox E1000
0-day https://github.com/MorteNoir1/virtualbox_e1000_0day/blob/master/README.md
Fuente: INCIBE
