• IT-Karriere:
  • Services:

Oracle: Verärgerter Forscher veröffentlicht Exploit für Virtualbox

Ein Sicherheitsforscher hat eine Zero-Day-Lücke für Virtualbox veröffentlicht, die einen Ausbruch aus dem Gastsystem auf das Host-System ermöglicht. Der Forscher sei frustriert darüber, wie der Hersteller mit Bug Bountys und Security-Forschung umgehe, heißt es als Begründung.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke.
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke. (Bild: Oracle)

Offenbar mit einer gehörigen Portion Frust über den Umgang von Oracle mit Bug Bountys und dem Prozess zum Melden und Offenlegen von Sicherheitslücken hat der Forscher Sergej Zeleniuk eine Sicherheitslücke samt Exploit für das Virtualisierungswerkzeug Virtualbox veröffentlicht. Der Hersteller Oracle stellt dafür noch keine Patches bereit, es handelt sich also um eine Zero-Day-Lücke. In Zeiten des sogenannten Responsible Disclosure und verschiedener Bug-Bounty-Programme großer IT-Unternehmen ist dies eine eher ungewöhnliche Vorgehensweise der Veröffentlichung. Zeleniuk begründet das Vorgehen jedoch mit seinen bisher gemachten schlechten Erfahrungen bei diesem Prozess.

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Er möge Virtualbox, schreibt der Hacker aus Sankt Petersburg in seiner Ankündigung zur Zero-Day-Lücke. Ihn störe der "gegenwärtige Status von Infosec". Zeleniuk nennt die Verantwortlichen zwar nicht explizit, meint aber augenscheinlich Oracle - den Hersteller von Virtualbox. Offenbar finde man es dort in Ordnung, sich ein halbes Jahr Zeit für das Patchen von Sicherheitslücken zu nehmen, kritisiert Zeleniuk.

Auch den Umgang mit Bug Bounties beschreibt er als intransparent und wechselhaft. An einem Tag interessiere sich der Hersteller für Lücken in seiner Software. Finden Hacker solche, sei der Hersteller plötzlich aber nicht mehr daran interessiert. Zudem dauere es zu lange, bis der Software-Hersteller eine Lücke verifiziere und entscheide, ob er die Informationen darüber kaufen wolle oder nicht. Nicht zuletzt lasse er Sicherheitsforscher im Unklaren, welche Lücken welche Preise erzielen.

Seine völlige Offenlegung der Lücke, ein Full Disclosure, betrachtet Zeleniuk als eine Reaktion auf den schlechten Zustand der IT-Sicherheit. Es ist nicht das erste Mal, dass Zeleniuk eine Lücke in Virtualbox findet. Eine weitere Guest-to-Host-Lücke entdeckte der Hacker in diesem Jahr im VRDP-Server von Virtualbox. Die nun veröffentlichte Lücke ist vermutlich eine Reaktion auf die hierbei mit Oracle gemachten Erfahrungen.

Gast-Ausbruch möglich

Die Lücke selbst betrifft sämtliche OS-Hostsysteme und Virtualbox-Gäste und ermöglicht einen Gast-Ausbruch auf das Host-System. Sie steckt in den Transmit-Deskriptoren für die voreingestellte Netzwerkkarte Intel PRO/1000 MT Desktop (82540EM), kurz E1000, in Kombination mit dem dazugehörigen NAT-Modus. Um die Lücke auszunutzen, muss der Nutzer im Gast OS ein manipuliertes Kernelmodul für die virtuelle Netzwerkkarte laden. Das Problem lässt sich zum Glück recht einfach verhindern: Ein Workaround bestehe laut Zeleniuk darin, die virtuelle Netzwerkkarte zu wechseln oder den NAT-Modus zu vermeiden.

Die Paketgröße für die Daten-Deskriptoren muss kleiner sein als die maximale Paketgröße der sogenannten Kontext-Deskriptoren. Letztere kommen in der Regel zuerst bei der Netzwerkkarte an. Damit die Netzwerkkarte die Deskriptoren erhält, schreibt das Gastsystem sie in den so genannten TX-Ring, einem Ring-Puffer mit festgelegter Adresse im Arbeitsspeicher. Sind dort alle Deskriptoren versammelt, aktualisiert das Gastsystem das TDT-Register der Netzwerkkarte (Transmit Descriptor Tail) und teilt dem Host mit, sich um die neuen Deskriptoren zu kümmern.

Hier liegt der Knackpunkt, den die Github-Seite in ihren Details beschreibt. Grob vereinfacht: Über eine bestimmte Kombination aus Daten- und Kontext-Deskriptoren mit voreingestellten Datenlängen lässt sich über den Code in der Datei "src/VBox/Devices/Network/DevE1000.cp" ein Integer-Underflow auslösen. Der ermöglicht es, bestimmte Grenzen für Puffergrößen zu überschreiten. Das wiederum lässt sich in Buffer-Overflows für Heap und Stack ausnutzen und damit letztlich für den Gast-Ausbruch.

Wie erwähnt gibt es gut umsetzbare Gegenmaßnahmen, auch ohne dass Oracle einen Patch für Virtualbox bereitstellt. Betroffene Admins sollten diese schnell umsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-69%) 24,99€
  2. (-77%) 6,99€
  3. 17,99€
  4. (-72%) 8,50€

Haudegen 21. Nov 2018

Fragesatz. Mein Fehler. Persönlich sehe ich es nicht als synonym. Der Wechsel zwischen...

Neuro-Chef 10. Nov 2018

Eben, Virtualbox kann man bedenkenlos einsetzen, wenn es bequem und gut genug das tut...

kendon 09. Nov 2018

Die Einzigen die andere gefährden sind Oracle, indem sie den Bug ignorieren...

mschop 09. Nov 2018

Das ist kein schmaler Grad. Ich habe noch nie einem Anbieter gedroht, dass ich die...

gfa-g 09. Nov 2018

Kommt nicht mal annährend an die Funktionalität und Komfort von VB heran. Abgesehen...


Folgen Sie uns
       


Halo (2001) - Golem retro_

2001 feierte der Master Chief im Klassiker Halo: Kampf um die Zukunft sein Debüt. Wir blicken zurück und merken, wie groß der Einfluss des Spiels wirklich ist.

Halo (2001) - Golem retro_ Video aufrufen
Workflows: Wenn Digitalisierung aus 2 Papierseiten 20 macht
Workflows
Wenn Digitalisierung aus 2 Papierseiten 20 macht

Die Digitalisierung von Prozessen scheitert selten an der Technik. Oft ist es Unwissenheit über wichtige Grundregeln, die Projekte nach hinten losgehen lässt - ein wichtiges Change-Modell hilft dagegen.
Ein Erfahrungsbericht von Markus Kammermeier

  1. Digitalisierung Aber das Faxgerät muss bleiben!
  2. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  3. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"

Videostreaming: Was an Prime Video und Netflix nervt
Videostreaming
Was an Prime Video und Netflix nervt

Eine ständig anders sortierte Watchlist, ein automatisch startender Stream oder fehlende Markierungen für Aboinhalte: Oft sind es nur Kleinigkeiten, die den Spaß am Streaming vermiesen - eine Hassliste.
Ein IMHO von Ingo Pakalski

  1. WhatsOnFlix Smartphone-App für bessere Verwaltung der Netflix-Inhalte
  2. Netflix Staffel-2-Trailer zeigt Cyberpunk-Welt von Altered Carbon
  3. Videostreaming Netflix musste Night of the Living Dead entfernen

Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

    •  /