Un chercheur en sécurité russe qui en a marre de l’état actuel d’InfoSec a publié des détails sur une vulnérabilité «zéro jour» affectant le logiciel de machine virtuelle très populaire d’Oracle, VirtualBox, sans en informer au préalable la société..

Le chercheur basé à Saint-Pétersbourg, Sergey Zelenyuk, a découvert une chaîne de bogues pouvant permettre à un code malveillant de s'échapper d'un ordinateur virtuel VirtualBox et de s'exécuter sur le système d'exploitation hôte..

Une fois que le code s'est échappé de la machine virtuelle VirtualBox, il s'exécute dans l'espace utilisateur limité du système d'exploitation sur l'anneau 3 du noyau. Cependant, Zelenyuk a noté que les attaquants pouvaient utiliser des bogues d'escalade privés connus pour obtenir un accès au niveau du noyau sur l'anneau zéro..

Il a fourni plus de détails sur le fichier texte détaillant la vulnérabilité de jour zéro qu'il a téléchargée sur GitHub sur ZDNet, en déclarant:

"L'exploit est fiable à 100%. Cela signifie que cela fonctionne toujours ou jamais à cause de binaires incompatibles ou d'autres raisons plus subtiles pour lesquelles je n'ai pas rendu compte."

Portée et gravité de la vulnérabilité

Selon Zelenyuk, la vulnérabilité de jour zéro affecte toutes les versions actuelles de VirtualBox et peut être exécutée indépendamment du système d'exploitation hôte ou invité exécuté par l'utilisateur. Il est également fiable par rapport à la configuration par défaut des ordinateurs virtuels nouvellement créés..

Bien que le jour zéro ne soit pas considéré comme une menace pour les environnements d'hébergement en nuage, car ils utilisent un hyperviseur de type 1 par opposition à l'hyperviseur de type 2 utilisé par Virtual Box, les chercheurs en sécurité s'inquiètent du fait que le logiciel de machine virtuelle d'Oracle est utilisé régulièrement pour l'analyse des programmes malveillants. ingénierie inverse.

Les créateurs de logiciels malveillants pourraient intégrer la chaîne des attentats du jour zéro au sein de souches de logiciels malveillants avec l'intention de s'échapper des machines virtuelles VirtualBox et d'infecter les systèmes d'exploitation des chercheurs..

Craig Young, chercheur en sécurité chez Tripwire, a donné des informations supplémentaires sur la vulnérabilité du jour zéro, en déclarant:

“La vulnérabilité réside dans la mise en œuvre d'une carte réseau virtuelle compatible avec Intel E1000. L’écriture montre comment un attaquant autorisé à charger des modules du noyau Linux dans un environnement invité Virtual Box peut exécuter du code avec des privilèges faibles sur le système d’exploitation hôte, qui peut ensuite être élevé pour obtenir un accès administratif à l’hôte. Toute personne utilisant Virtual Box pour accéder à un contenu non fiable (analystes de logiciels malveillants, par exemple) doit immédiatement consulter ses profils d'ordinateur et au moins interrompre temporairement l'utilisation du périphérique E1000 au profit de l'adaptateur PCNET. Les utilisateurs doivent éviter d'exécuter des applications moins fiables dans tout environnement Virtual Box avec E1000 activé jusqu'à ce que Oracle soit en mesure de publier un correctif..”

Via ZDNet

  • Nous avons également mis en évidence le meilleur antivirus