Abo
  • Services:

Oracle: Verärgerter Forscher veröffentlicht Exploit für Virtualbox

Ein Sicherheitsforscher hat eine Zero-Day-Lücke für Virtualbox veröffentlicht, die einen Ausbruch aus dem Gastsystem auf das Host-System ermöglicht. Der Forscher sei frustriert darüber, wie der Hersteller mit Bug Bountys und Security-Forschung umgehe, heißt es als Begründung.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke.
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke. (Bild: Oracle)

Offenbar mit einer gehörigen Portion Frust über den Umgang von Oracle mit Bug Bountys und dem Prozess zum Melden und Offenlegen von Sicherheitslücken hat der Forscher Sergej Zeleniuk eine Sicherheitslücke samt Exploit für das Virtualisierungswerkzeug Virtualbox veröffentlicht. Der Hersteller Oracle stellt dafür noch keine Patches bereit, es handelt sich also um eine Zero-Day-Lücke. In Zeiten des sogenannten Responsible Disclosure und verschiedener Bug-Bounty-Programme großer IT-Unternehmen ist dies eine eher ungewöhnliche Vorgehensweise der Veröffentlichung. Zeleniuk begründet das Vorgehen jedoch mit seinen bisher gemachten schlechten Erfahrungen bei diesem Prozess.

Stellenmarkt
  1. Hochschule für angewandte Wissenschaften Augsburg, Augsburg
  2. BayWa r.e. Solar Energy Systems GmbH, Tübingen

Er möge Virtualbox, schreibt der Hacker aus Sankt Petersburg in seiner Ankündigung zur Zero-Day-Lücke. Ihn störe der "gegenwärtige Status von Infosec". Zeleniuk nennt die Verantwortlichen zwar nicht explizit, meint aber augenscheinlich Oracle - den Hersteller von Virtualbox. Offenbar finde man es dort in Ordnung, sich ein halbes Jahr Zeit für das Patchen von Sicherheitslücken zu nehmen, kritisiert Zeleniuk.

Auch den Umgang mit Bug Bounties beschreibt er als intransparent und wechselhaft. An einem Tag interessiere sich der Hersteller für Lücken in seiner Software. Finden Hacker solche, sei der Hersteller plötzlich aber nicht mehr daran interessiert. Zudem dauere es zu lange, bis der Software-Hersteller eine Lücke verifiziere und entscheide, ob er die Informationen darüber kaufen wolle oder nicht. Nicht zuletzt lasse er Sicherheitsforscher im Unklaren, welche Lücken welche Preise erzielen.

Seine völlige Offenlegung der Lücke, ein Full Disclosure, betrachtet Zeleniuk als eine Reaktion auf den schlechten Zustand der IT-Sicherheit. Es ist nicht das erste Mal, dass Zeleniuk eine Lücke in Virtualbox findet. Eine weitere Guest-to-Host-Lücke entdeckte der Hacker in diesem Jahr im VRDP-Server von Virtualbox. Die nun veröffentlichte Lücke ist vermutlich eine Reaktion auf die hierbei mit Oracle gemachten Erfahrungen.

Gast-Ausbruch möglich

Die Lücke selbst betrifft sämtliche OS-Hostsysteme und Virtualbox-Gäste und ermöglicht einen Gast-Ausbruch auf das Host-System. Sie steckt in den Transmit-Deskriptoren für die voreingestellte Netzwerkkarte Intel PRO/1000 MT Desktop (82540EM), kurz E1000, in Kombination mit dem dazugehörigen NAT-Modus. Um die Lücke auszunutzen, muss der Nutzer im Gast OS ein manipuliertes Kernelmodul für die virtuelle Netzwerkkarte laden. Das Problem lässt sich zum Glück recht einfach verhindern: Ein Workaround bestehe laut Zeleniuk darin, die virtuelle Netzwerkkarte zu wechseln oder den NAT-Modus zu vermeiden.

Die Paketgröße für die Daten-Deskriptoren muss kleiner sein als die maximale Paketgröße der sogenannten Kontext-Deskriptoren. Letztere kommen in der Regel zuerst bei der Netzwerkkarte an. Damit die Netzwerkkarte die Deskriptoren erhält, schreibt das Gastsystem sie in den so genannten TX-Ring, einem Ring-Puffer mit festgelegter Adresse im Arbeitsspeicher. Sind dort alle Deskriptoren versammelt, aktualisiert das Gastsystem das TDT-Register der Netzwerkkarte (Transmit Descriptor Tail) und teilt dem Host mit, sich um die neuen Deskriptoren zu kümmern.

Hier liegt der Knackpunkt, den die Github-Seite in ihren Details beschreibt. Grob vereinfacht: Über eine bestimmte Kombination aus Daten- und Kontext-Deskriptoren mit voreingestellten Datenlängen lässt sich über den Code in der Datei "src/VBox/Devices/Network/DevE1000.cp" ein Integer-Underflow auslösen. Der ermöglicht es, bestimmte Grenzen für Puffergrößen zu überschreiten. Das wiederum lässt sich in Buffer-Overflows für Heap und Stack ausnutzen und damit letztlich für den Gast-Ausbruch.

Wie erwähnt gibt es gut umsetzbare Gegenmaßnahmen, auch ohne dass Oracle einen Patch für Virtualbox bereitstellt. Betroffene Admins sollten diese schnell umsetzen.



Anzeige
Spiele-Angebote
  1. 46,99€
  2. (-78%) 12,99€
  3. 39,99€ (Release 14.11.)
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)

Neuro-Chef 10. Nov 2018 / Themenstart

Eben, Virtualbox kann man bedenkenlos einsetzen, wenn es bequem und gut genug das tut...

kendon 09. Nov 2018 / Themenstart

Die Einzigen die andere gefährden sind Oracle, indem sie den Bug ignorieren...

mschop 09. Nov 2018 / Themenstart

Das ist kein schmaler Grad. Ich habe noch nie einem Anbieter gedroht, dass ich die...

gfa-g 09. Nov 2018 / Themenstart

Kommt nicht mal annährend an die Funktionalität und Komfort von VB heran. Abgesehen...

kendon 08. Nov 2018 / Themenstart

Oha, hätte ich wohl verstanden worum es hier geht und wie es funktioniert dann wäre dein...

Kommentieren


Folgen Sie uns
       


Hitman 2 - Fazit

Wer ist Agent 47 - und warum ist er so ein perfekter Auftragskiller? Einer Antwort kommen Spieler auch in Hitman 2 unter Umständen nicht näher, dafür erleben sie mit dem Glatzkopf aber spannend und komplexe Abenteuer in schön gestalteten, sehr aufwendigen Einsätzen.

Hitman 2 - Fazit Video aufrufen
Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
Job-Porträt Cyber-Detektiv
"Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

Haiku Beta 1 angesehen: BeOS in modernem Gewand
Haiku Beta 1 angesehen
BeOS in modernem Gewand

Seit nunmehr über 17 Jahren arbeitet ein kleines Entwickler-Team am quelloffenen Betriebssystem Haiku, das vollständig kompatibel sein soll mit dem um die Jahrtausendwende eingestellten BeOS. Seit einigen Wochen liegt endlich eine erste Betaversion vor, die BeOS ein wenig in die Moderne verhilft.
Von Tim Schürmann


      •  /