The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

07.11.2018 09:26  Уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы

Сергей Зеленюк раскрыл детальную информацию об ещё не исправленной (0-day) критической уязвимости в системе виртуализации VirtualBox, позволяющей обойти механизм изоляции гостевых систем и выполнить код на стороне хост-окружения. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита. Для атаки требуется наличие прав root или администратора в гостевой системе. Проблема проявляется в конфигурации по умолчанию с сетевым адаптером E1000 при применении трансляции адресов (NAT) для организации сетевого взаимодействия.

Проблема вызвана переполнением буфера в коде эмуляции сетевого адаптера E1000 (Intel PRO/1000 MT Desktop). Практическая атака, использующая данное переполнение буфера, разделена на несколько этапов: через манипуляцию с Tx-дескрипторами пакета (структура с информацией о пакете), создаются условия для целочисленного переполнения через нижнюю границу (integer underflow), что позволяет организовать загрузку произвольных данных в буфер и вызвать его переполнение с наложением не уместившегося в буфер хвоста на область указателей или инициировать переполнение стека.

Суть уязвимости в том, что возможно создание условий, при которых Tx-дескрипторы данных могут поступить для обработки раньше Tx-дескрипторов контекста. Дескрипторы данных включают сведения о физическом адресе пакета в памяти и размере пакета. Дескрипторы контекста содержат информацию о максимальном размере пакета и сегментации. Размер пакета в дескрипторе с данными всегда меньше максимального размера пакета в дескрипторе контекста. В случае нарушения порядка обработки Tx-дескрипторов при вычислении размера возникает целочисленное переполнение через нижнюю границу.

Атака позволяет выполнить код на уровне третьего кольца защиты (ring3) в хост-окружении, после чего можно воспользоваться техникой повышения привилегий до уровня ring0 через манипуляции с /dev/vboxdrv. Подготовленный прототип эксплоита демонстрирует 100% повторяемость и не зависит от сборки VirtualBox. Эксплоит оформлен в виде модуля ядра, загружаемого на стороне гостевой системы. Уязвимость проявляется независимо от операционных систем, используемых на стороне хоста и гостевого окружения. В качестве обходного пути для защиты рекомендуется сменить в настройках эмулируемый сетевой адаптер на PCnet или Paravirtualized Network, или отключить режим NAT.

Решение опубликовать сведения об уязвимости, не дожидаясь исправления, вызваны неприятием сложившейся практики в области связанных с безопасностью исследований и негативным опытом информирования о уязвимостях в прошлом. Исследователям приходится ждать по полгода, пока будет исправлена уязвимость, а также возникает неопределённость при участии в программах выплаты вознаграждений за выявление уязвимостей. При участии в программах выплаты вознаграждений приходится более месяца ждать пока уязвимость будет проверена и будет принято решение о выплате. Решение при этом принимается наобум - сегодня за уязвимость могут заплатить, а через неделю она уже может показаться неинтересной. Размер выплаты мало предсказуем. Неприятие также вызывает последнее время раздуваемая маркетинговая шумиха вокруг уязвимостей - исследователи дают уязвимостям имена, создают сайты и логотипы, преувеличивают важность собственной работы и преподносят себя как спасителей мира.

  1. Главная ссылка к новости (https://www.reddit.com/r/netse...)
  2. OpenNews: Бета-выпуск VirtualBox 6.0
  3. OpenNews: Критическая уязвимость, позволяющая выполнить код вне гостевой системы в Xen, KVM, VirtualBox и QEMU
  4. OpenNews: Новые уязвимости в Xen, позволяющие выйти за пределы гостевой системы
  5. OpenNews: Уязвимость в механизме виртуализации Intel VT-d позволяет выйти за пределы изолированного окружения
  6. OpenNews: Критическая уязвимость в системах виртуализации, использующих драйвер PCNET
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, нах (?), 10:13, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    > В качестве обходного пути для защиты рекомендуется сменить в
    > настройках эмулируемый сетевой адаптер на PCnet или Paravirtualized
    > Network.

    и последний обеспечит вам "производительность" уровня доисторической ne1000 если (внезапно!) число выделенных виртуалке ядер превышает 1. (нет, я тоже в а...е от качества кода ораклов. Это, если что, именно оракл, сан писал...зачеркнуто, скопипастил у qemu код как раз e1000.)

    про производительность pcnet, думаю, и так всем понятно. (но лучше, много лучше vboxnet на двух ядрах)

     
     
  • 2.18, Аноним (18), 12:46, 07/11/2018 [^] [ответить]    [к модератору]
  • +/
    То есть когда включено более 1 цпу, то virtio-net в виртуалбоксе - медленнее полностью эмулированного сетевого адаптера? Действительно удивительная реализация.
     
     
  • 3.27, нах (?), 14:53, 07/11/2018 [^] [ответить]     [к модератору]
  • +/
    мля, ты не допер - еще круче - он _и_так_ тормозной, но если cpu 1 - настает _... весь текст скрыт [показать]
     
     
  • 4.31, Stax (ok), 15:20, 07/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Но при этом этот кто надо написал нормально так, что А ребята из оркала напис... весь текст скрыт [показать]
     
     
  • 5.32, нах (?), 15:34, 07/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    никто не проверял - оно настолько не так быстро , что вряд ли кто-то дальше лок... весь текст скрыт [показать]
     
  • 4.62, Аноним (62), 20:35, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    я офигеваю, веть virtio как раз делалось для скорости
     
     
  • 5.68, Аноним (68), 01:15, 08/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Для скорости, совместимости, расширяемости Нормальный virtio-net например тот,... весь текст скрыт [показать]
     
  • 1.3, Аноним (3), 10:16, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Да что с айти не так? Одна новость страшнее другой
     
     
  • 2.4, нах (?), 10:21, 07/11/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    да ладно - ты от vbox'а ждал чего-то другого?

     
  • 2.5, Клыкастый (ok), 10:47, 07/11/2018 [^] [ответить]    [к модератору]  
  • +19 +/
    Ты как вчера родился. В IT постоянно так.
     
  • 2.9, Grigoriy (?), 11:14, 07/11/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Люди работают в индустрии потому-что. Ни как раньше, с отвественностью, а как сейчас, хоп хоп, и в продакшен, и денежки бы побыстрее.
     
  • 2.40, КГБ СССР (?), 17:15, 07/11/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    RERO с ним не так www catb org esr writings homesteading cathedral-bazaar ar01s... весь текст скрыт [показать]
     
     
  • 3.48, Урри (?), 18:17, 07/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Но ведь пипл хавает? Денежки несут? Вечто глючащим гoвном пользуются?

    Хотя меня тоже ситуация сильно удручает.

     
     
  • 4.55, КГБ СССР (?), 18:44, 07/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Пипл не в состоянии самостоятельно переделать, даже если бы умел и хотел сложно... весь текст скрыт [показать]
     
  • 1.15, ryoken (ok), 12:34, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Если у кого в такой конфиге VBox в продакшене - он ССЗБ, не? Есть же KVM\QEMU.
     
     
  • 2.17, Аноним (17), 12:40, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а переносимость виртуалок в зоопарке?
     
     
  • 3.19, ryoken (ok), 12:49, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Конверторы образов дисков отменили?
     
     
  • 4.20, Аноним (17), 12:51, 07/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Конверторы образов дисков отменили?

    лишнее время....

     
  • 3.29, нах (?), 15:01, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    а чего, божественный kvm до сих пор не умеет форматов кроме qcow 2 vbox, кстат... весь текст скрыт [показать]
     
     
  • 4.36, none_first (ok), 16:29, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    не знаю как vmdk, но vhd винда не принимает за правильный можно предположить ... весь текст скрыт [показать]
     
     
  • 5.43, КГБ СССР (?), 17:21, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    VHD, вообще-то, родной формат майкрософтовской машины.

    en.wikipedia.org/wiki/VHD_(file_format)

    Простая Винда не обязана понимать, а мелкомягкие ВМ -- таки должны. Неужто не понимают?

     
     
  • 6.60, none_first (ok), 20:01, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    сказало - не знаю такого я не стал настаивать, я хуперву на типа поржать бр... весь текст скрыт [показать]
     
     
  • 7.64, КГБ СССР (?), 20:50, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Хуперва ж бесплатна, ЕМНИП?
     
     
  • 8.81, нах (?), 14:20, 09/11/2018 [^] [ответить]    [к модератору]  
  • +/
    при многих если, и, кстати, никто не обещал что эта программа будет вечной
     
  • 5.46, нах (?), 18:08, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    мля ну я все еще надеюсь на лучшее вообще-то у меня наоборот - vmdk от доист... весь текст скрыт [показать]
     
     
  • 6.58, none_first (ok), 19:56, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален send не обязательно можно dd if home user RAW img 124... весь текст скрыт [показать]
     
     
  • 7.61, пох (?), 20:19, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > send не обязательно

    смысл zvol что он sparse и незанятые блоки не занимают бестолку места (и не копируются ssh'ем, небыстро и не всегда бесплатно) qemu-img convert наше всьо.

     
     
  • 8.73, none_first (ok), 12:04, 08/11/2018 [^] [ответить]     [к модератору]  
  • +/
    экономия места не всегда играет важную роль может оказаться экономией на спичк... весь текст скрыт [показать]
     
     
  • 9.80, КГБ СССР (?), 20:02, 08/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Спичка к спичке, спичка к спичке 8230 К примеру, на тестовой виртуалке инсталл... весь текст скрыт [показать]
     
  • 4.57, Аноним (57), 19:02, 07/11/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Божественный KVM 8212 это всего лишь API в ядре, унифицирующий для userspace ... весь текст скрыт [показать]
     
  • 4.74, Anonimus (??), 12:52, 08/11/2018 [^] [ответить]     [к модератору]  
  • +/
    vbox, кстати, его тоже умел, помнится, как и более популярные среди меня vmdk Е... весь текст скрыт [показать]
     
     
  • 5.79, КГБ СССР (?), 19:24, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > vbox, кстати, его тоже умел, помнится, как и более популярные среди меня
    > .vmdk

    В окошке Виртуалбокса написано, что умеет конвертировать в VDI, VHD, VMDK, HDD, QCOW и QED.

     
     
  • 6.82, нах (?), 14:22, 09/11/2018 [^] [ответить]     [к модератору]  
  • +/
    причем тут конвертировать , он напрямую может с ними работать, без преобразован... весь текст скрыт [показать]
     
     
  • 7.83, КГБ СССР (?), 14:51, 09/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Умеет с VHD, подтверждаю Никаких видимых на глаз отличий от использования VDI н... весь текст скрыт [показать]
     
  • 2.21, vitalif (ok), 12:51, 07/11/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    В продакшене вообще есть виртуалбокс? Нахрена?
     
     
  • 3.24, Vitaliy Blats (?), 14:21, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    У тебя просто спутано понимание термина продакшен Ты наверняка под этим слово... весь текст скрыт [показать]
     
     
  • 4.41, Аноним (41), 17:15, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Библиотека - консюмейшен =)
    А вот нетбук писателя  - продакшен. Но ни там ни тут виртуализация не особо нужна.
     
     
  • 5.70, anonymous (??), 04:17, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    виртуализация нужна для скайпа и прочей малвари, которую приходится запускать.
     
     
  • 6.71, Аноним (41), 08:00, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Скайп вроде есть под линь какой-то. Для другого софта нужна но тогда пользоваться линуксом бесмысленно, да и ресурсов компа больше надо.
     
  • 3.59, Онаним (?), 19:59, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Потому, что очень легко и просто всё делается несколькими командами, я делал несколько виртуальных серваков на одном физическом через VirtualBox несколько лет назад, прекрасно работало.
     
  • 2.28, нах (?), 14:57, 07/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    это у линуксфанов он есть Но линукса в продакшн многим, как я погляжу, уже не х... весь текст скрыт [показать]
     
     
  • 3.37, none_first (ok), 16:40, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    амазон, гугл кто такие многим в ажуре доля линуксов растет постоянно http... весь текст скрыт [показать]
     
     
  • 4.49, нах (?), 18:19, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    ну растет, вот сейчас подпишут контракт - и еще вырастет _сами_ пришли, между п... весь текст скрыт [показать]
     
  • 3.47, Anonimus (??), 18:09, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    винду и даром не хочу, а kvm не боятся использовать даже в amazon, хотя куда им до masterhost.ru;)
     
     
  • 4.50, нах (?), 18:21, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    у мастерхвоста там не виртуалки, а витруалки-с-shared-hosting, это в плане обезьяноустойчивости задача гораздо более интересная.

     
     
  • 5.53, Anonimus (??), 18:37, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    в контексте обсуждение разговор был именно о виртуализации считай что только о ... весь текст скрыт [показать]
     
     
  • 6.65, пох (?), 21:21, 07/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    сейчас _все_ принято настраивать внутри виртуалки Кроме каких-то совсем уж ун... весь текст скрыт [показать]
     
     
  • 7.76, RHEL fan (?), 14:44, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, у "линyпс0в" есть virt-sysprep, sys-unconfig, а благодаря отсутствию реестра можно обойтись и обычным rm.
     
  • 7.77, Anonimus (??), 15:14, 08/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Кем принято В чем практическая польза в контексте шаредхостинга C HA кластеро... весь текст скрыт [показать]
     
  • 3.75, KonstantinB (ok), 13:41, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    digitalocean, например, работает на kvm
     
  • 2.35, пгуыыцрщ (?), 16:20, 07/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Уязвимость в драйвере. Если KVM заюзает так же е1к драйвер, то и там будет.
     
     
  • 3.45, Anonimus (??), 18:06, 07/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    вместе с kvm обычно юзают virtio драйвер
     
  • 3.51, нах (?), 18:23, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    да не в драйвере, блин но вот не совпадает ли код в паре мест ну так, чисто во... весь текст скрыт [показать]
     
     ....нить скрыта, показать (38)

  • 1.22, Аноним (22), 13:10, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как долго он эту уязвимость ресерчил?
     
     
  • 2.23, sage (??), 13:27, 07/11/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    >Два дня на целенаправленный поиск, 14 дней на написание эксплоита до конца.

    https://habr.com/post/429004/

     
  • 1.25, Аноним (25), 14:42, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    > Для атаки требуется наличие прав root или администратора в гостевой системе.

    Такая мелочь?

     
     
  • 2.63, demimurych (ok), 20:40, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Новость не читай комментарий пиши
     
     
  • 3.84, Аноним (84), 15:00, 09/11/2018 [^] [ответить]    [к модератору]  
  • +/
    читай не читай все-равно атака без прав невозможна.
     
  • 1.26, Аноним (26), 14:51, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –8 +/
    А я всегда знал, что можно что угодно сделать с системой с правами root. Но мне НИКТО не верил!
     
  • 1.30, Аноним (30), 15:11, 07/11/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    В paravirtual в свое время был неприятный баг, оно било память в гостевой систем... весь текст скрыт [показать]
     
     
  • 2.33, нах (?), 15:36, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > В paravirtual в свое время был неприятный баг, оно било память в гостевой системе.

    оно - точно именно эмулятор, а не кривые драйвера в этой самой гостевой?

    тикет-то завел, или как всегда?

     
  • 1.38, КГБ СССР (?), 16:54, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > В качестве обходного пути для защиты рекомендуется сменить в настройках эмулируемый сетевой адаптер на PCnet или Paravirtualized Network, или отключить режим NAT.

    Принято к сведению.

     
  • 1.39, КГБ СССР (?), 16:59, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Решение опубликовать сведения об уязвимости, не дожидаясь исправления, вызваны неприятием сложившейся практики в области связанных с безопасностью исследований и негативным опытом информирования о уязвимостях в прошлом.

    Вот это правильно. Давно пора.

     
     
  • 2.42, Аноним (41), 17:19, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Чего правильно то? дал бы им месяц на исправление, а остальным бы объявил не юзать этот сетвой эмулятор пока
     
     
  • 3.44, КГБ СССР (?), 17:24, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Чтобы кого-то научить плавать, дружок, обучаемого бросают сразу в глубокую воду, а не поливают его из лейки.
     
     
  • 4.52, нах (?), 18:24, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    тут не ваши коллеги в (глубокой) луже надысь утонули?
     
     
  • 5.54, КГБ СССР (?), 18:40, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > тут не ваши коллеги в (глубокой) луже надысь утонули?

    Я давно пропил свой телевизор. О чём речь?

     
     
  • 6.66, нах (?), 21:33, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    да вот, тоже плавать учились:
    https://www.youtube.com/watch?v=SPeU1mBJuw8
    (по поводу ведомственной принадлежности есть сомнения)
     
     
  • 7.67, КГБ СССР (?), 22:10, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Плюс две премии Дарвина.
     
  • 3.56, Аноним (56), 18:54, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Дал бы месяц, а у самого ушло на написание эксплойта 2 недели. Т.е. итого ~ 2 недели всех будут во все технические отверстия. Защищённенько.
     
     
  • 4.72, Аноним (41), 08:05, 08/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Сейчас всех, кто не читает опеннет его же эксплоитом будут во все дыры. Что за бред?
    Чел понтуется, это очевидно. О здравом смысле и говорит не приходится.
     
  • 3.69, Аноним (69), 04:09, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну так-то месяц на исправление у них никто не отбирал. Просто теперь пользователи знают про уязвимость и как ее избежать. Не вижу отличий.
     
  • 3.85, ПДК (?), 15:32, 09/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Что мешает прямо сейчас не пользоваться этим сетевым интерфейсом? Их ведь там несколько.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor