Abo
  • Services:

Oracle: Verärgerter Forscher veröffentlicht Exploit für Virtualbox

Ein Sicherheitsforscher hat eine Zero-Day-Lücke für Virtualbox veröffentlicht, die einen Ausbruch aus dem Gastsystem auf das Host-System ermöglicht. Der Forscher sei frustriert darüber, wie der Hersteller mit Bug Bountys und Security-Forschung umgehe, heißt es als Begründung.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke.
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke. (Bild: Oracle)

Offenbar mit einer gehörigen Portion Frust über den Umgang von Oracle mit Bug Bountys und dem Prozess zum Melden und Offenlegen von Sicherheitslücken hat der Forscher Sergej Zeleniuk eine Sicherheitslücke samt Exploit für das Virtualisierungswerkzeug Virtualbox veröffentlicht. Der Hersteller Oracle stellt dafür noch keine Patches bereit, es handelt sich also um eine Zero-Day-Lücke. In Zeiten des sogenannten Responsible Disclosure und verschiedener Bug-Bounty-Programme großer IT-Unternehmen ist dies eine eher ungewöhnliche Vorgehensweise der Veröffentlichung. Zeleniuk begründet das Vorgehen jedoch mit seinen bisher gemachten schlechten Erfahrungen bei diesem Prozess.

Stellenmarkt
  1. Klinikum rechts der Isar der TU München, München
  2. ENERCON GmbH, Aurich, Bremen

Er möge Virtualbox, schreibt der Hacker aus Sankt Petersburg in seiner Ankündigung zur Zero-Day-Lücke. Ihn störe der "gegenwärtige Status von Infosec". Zeleniuk nennt die Verantwortlichen zwar nicht explizit, meint aber augenscheinlich Oracle - den Hersteller von Virtualbox. Offenbar finde man es dort in Ordnung, sich ein halbes Jahr Zeit für das Patchen von Sicherheitslücken zu nehmen, kritisiert Zeleniuk.

Auch den Umgang mit Bug Bounties beschreibt er als intransparent und wechselhaft. An einem Tag interessiere sich der Hersteller für Lücken in seiner Software. Finden Hacker solche, sei der Hersteller plötzlich aber nicht mehr daran interessiert. Zudem dauere es zu lange, bis der Software-Hersteller eine Lücke verifiziere und entscheide, ob er die Informationen darüber kaufen wolle oder nicht. Nicht zuletzt lasse er Sicherheitsforscher im Unklaren, welche Lücken welche Preise erzielen.

Seine völlige Offenlegung der Lücke, ein Full Disclosure, betrachtet Zeleniuk als eine Reaktion auf den schlechten Zustand der IT-Sicherheit. Es ist nicht das erste Mal, dass Zeleniuk eine Lücke in Virtualbox findet. Eine weitere Guest-to-Host-Lücke entdeckte der Hacker in diesem Jahr im VRDP-Server von Virtualbox. Die nun veröffentlichte Lücke ist vermutlich eine Reaktion auf die hierbei mit Oracle gemachten Erfahrungen.

Gast-Ausbruch möglich

Die Lücke selbst betrifft sämtliche OS-Hostsysteme und Virtualbox-Gäste und ermöglicht einen Gast-Ausbruch auf das Host-System. Sie steckt in den Transmit-Deskriptoren für die voreingestellte Netzwerkkarte Intel PRO/1000 MT Desktop (82540EM), kurz E1000, in Kombination mit dem dazugehörigen NAT-Modus. Um die Lücke auszunutzen, muss der Nutzer im Gast OS ein manipuliertes Kernelmodul für die virtuelle Netzwerkkarte laden. Das Problem lässt sich zum Glück recht einfach verhindern: Ein Workaround bestehe laut Zeleniuk darin, die virtuelle Netzwerkkarte zu wechseln oder den NAT-Modus zu vermeiden.

Die Paketgröße für die Daten-Deskriptoren muss kleiner sein als die maximale Paketgröße der sogenannten Kontext-Deskriptoren. Letztere kommen in der Regel zuerst bei der Netzwerkkarte an. Damit die Netzwerkkarte die Deskriptoren erhält, schreibt das Gastsystem sie in den so genannten TX-Ring, einem Ring-Puffer mit festgelegter Adresse im Arbeitsspeicher. Sind dort alle Deskriptoren versammelt, aktualisiert das Gastsystem das TDT-Register der Netzwerkkarte (Transmit Descriptor Tail) und teilt dem Host mit, sich um die neuen Deskriptoren zu kümmern.

Hier liegt der Knackpunkt, den die Github-Seite in ihren Details beschreibt. Grob vereinfacht: Über eine bestimmte Kombination aus Daten- und Kontext-Deskriptoren mit voreingestellten Datenlängen lässt sich über den Code in der Datei "src/VBox/Devices/Network/DevE1000.cp" ein Integer-Underflow auslösen. Der ermöglicht es, bestimmte Grenzen für Puffergrößen zu überschreiten. Das wiederum lässt sich in Buffer-Overflows für Heap und Stack ausnutzen und damit letztlich für den Gast-Ausbruch.

Wie erwähnt gibt es gut umsetzbare Gegenmaßnahmen, auch ohne dass Oracle einen Patch für Virtualbox bereitstellt. Betroffene Admins sollten diese schnell umsetzen.



Anzeige
Spiele-Angebote
  1. (-10%) 35,99€
  2. 30,99€
  3. 23,95€
  4. (verbleibt danach dauerhaft im Account)

Neuro-Chef 10. Nov 2018 / Themenstart

Eben, Virtualbox kann man bedenkenlos einsetzen, wenn es bequem und gut genug das tut...

kendon 09. Nov 2018 / Themenstart

Die Einzigen die andere gefährden sind Oracle, indem sie den Bug ignorieren...

mschop 09. Nov 2018 / Themenstart

Das ist kein schmaler Grad. Ich habe noch nie einem Anbieter gedroht, dass ich die...

gfa-g 09. Nov 2018 / Themenstart

Kommt nicht mal annährend an die Funktionalität und Komfort von VB heran. Abgesehen...

kendon 08. Nov 2018 / Themenstart

Oha, hätte ich wohl verstanden worum es hier geht und wie es funktioniert dann wäre dein...

Kommentieren


Folgen Sie uns
       


Nerf Laser Ops Pro - Test

Hasbros neue Laser-Ops-Pro-Blaster verschießen Licht anstelle von Darts. Das tut weniger weh und macht trotzdem Spaß.

Nerf Laser Ops Pro - Test Video aufrufen
Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

Wet Dreams Don't Dry im Test: Leisure Suit Larry im Land der Hipster
Wet Dreams Don't Dry im Test
Leisure Suit Larry im Land der Hipster

Der Möchtegernfrauenheld Larry Laffer kommt zurück aus der Gruft: In einem neuen Adventure namens Wet Dreams Don't Dry reist er direkt aus den 80ern ins Jahr 2018 - und landet in der Welt von Smartphone und Tinder.
Ein Test von Peter Steinlechner

  1. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
  2. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

    •  /