Abo
  • IT-Karriere:

Oracle: Verärgerter Forscher veröffentlicht Exploit für Virtualbox

Ein Sicherheitsforscher hat eine Zero-Day-Lücke für Virtualbox veröffentlicht, die einen Ausbruch aus dem Gastsystem auf das Host-System ermöglicht. Der Forscher sei frustriert darüber, wie der Hersteller mit Bug Bountys und Security-Forschung umgehe, heißt es als Begründung.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke.
Oracles Virtualsbox hat eine Zero-Day-Sicherheitslücke. (Bild: Oracle)

Offenbar mit einer gehörigen Portion Frust über den Umgang von Oracle mit Bug Bountys und dem Prozess zum Melden und Offenlegen von Sicherheitslücken hat der Forscher Sergej Zeleniuk eine Sicherheitslücke samt Exploit für das Virtualisierungswerkzeug Virtualbox veröffentlicht. Der Hersteller Oracle stellt dafür noch keine Patches bereit, es handelt sich also um eine Zero-Day-Lücke. In Zeiten des sogenannten Responsible Disclosure und verschiedener Bug-Bounty-Programme großer IT-Unternehmen ist dies eine eher ungewöhnliche Vorgehensweise der Veröffentlichung. Zeleniuk begründet das Vorgehen jedoch mit seinen bisher gemachten schlechten Erfahrungen bei diesem Prozess.

Stellenmarkt
  1. Universitätsmedizin Göttingen, Göttingen
  2. Dataport, verschiedene Standorte

Er möge Virtualbox, schreibt der Hacker aus Sankt Petersburg in seiner Ankündigung zur Zero-Day-Lücke. Ihn störe der "gegenwärtige Status von Infosec". Zeleniuk nennt die Verantwortlichen zwar nicht explizit, meint aber augenscheinlich Oracle - den Hersteller von Virtualbox. Offenbar finde man es dort in Ordnung, sich ein halbes Jahr Zeit für das Patchen von Sicherheitslücken zu nehmen, kritisiert Zeleniuk.

Auch den Umgang mit Bug Bounties beschreibt er als intransparent und wechselhaft. An einem Tag interessiere sich der Hersteller für Lücken in seiner Software. Finden Hacker solche, sei der Hersteller plötzlich aber nicht mehr daran interessiert. Zudem dauere es zu lange, bis der Software-Hersteller eine Lücke verifiziere und entscheide, ob er die Informationen darüber kaufen wolle oder nicht. Nicht zuletzt lasse er Sicherheitsforscher im Unklaren, welche Lücken welche Preise erzielen.

Seine völlige Offenlegung der Lücke, ein Full Disclosure, betrachtet Zeleniuk als eine Reaktion auf den schlechten Zustand der IT-Sicherheit. Es ist nicht das erste Mal, dass Zeleniuk eine Lücke in Virtualbox findet. Eine weitere Guest-to-Host-Lücke entdeckte der Hacker in diesem Jahr im VRDP-Server von Virtualbox. Die nun veröffentlichte Lücke ist vermutlich eine Reaktion auf die hierbei mit Oracle gemachten Erfahrungen.

Gast-Ausbruch möglich

Die Lücke selbst betrifft sämtliche OS-Hostsysteme und Virtualbox-Gäste und ermöglicht einen Gast-Ausbruch auf das Host-System. Sie steckt in den Transmit-Deskriptoren für die voreingestellte Netzwerkkarte Intel PRO/1000 MT Desktop (82540EM), kurz E1000, in Kombination mit dem dazugehörigen NAT-Modus. Um die Lücke auszunutzen, muss der Nutzer im Gast OS ein manipuliertes Kernelmodul für die virtuelle Netzwerkkarte laden. Das Problem lässt sich zum Glück recht einfach verhindern: Ein Workaround bestehe laut Zeleniuk darin, die virtuelle Netzwerkkarte zu wechseln oder den NAT-Modus zu vermeiden.

Die Paketgröße für die Daten-Deskriptoren muss kleiner sein als die maximale Paketgröße der sogenannten Kontext-Deskriptoren. Letztere kommen in der Regel zuerst bei der Netzwerkkarte an. Damit die Netzwerkkarte die Deskriptoren erhält, schreibt das Gastsystem sie in den so genannten TX-Ring, einem Ring-Puffer mit festgelegter Adresse im Arbeitsspeicher. Sind dort alle Deskriptoren versammelt, aktualisiert das Gastsystem das TDT-Register der Netzwerkkarte (Transmit Descriptor Tail) und teilt dem Host mit, sich um die neuen Deskriptoren zu kümmern.

Hier liegt der Knackpunkt, den die Github-Seite in ihren Details beschreibt. Grob vereinfacht: Über eine bestimmte Kombination aus Daten- und Kontext-Deskriptoren mit voreingestellten Datenlängen lässt sich über den Code in der Datei "src/VBox/Devices/Network/DevE1000.cp" ein Integer-Underflow auslösen. Der ermöglicht es, bestimmte Grenzen für Puffergrößen zu überschreiten. Das wiederum lässt sich in Buffer-Overflows für Heap und Stack ausnutzen und damit letztlich für den Gast-Ausbruch.

Wie erwähnt gibt es gut umsetzbare Gegenmaßnahmen, auch ohne dass Oracle einen Patch für Virtualbox bereitstellt. Betroffene Admins sollten diese schnell umsetzen.



Anzeige
Top-Angebote
  1. 749,00€
  2. 199,00€
  3. (u. a. Age of Wonders: Planetfall für 39,99€, Imperator: Rome für 23,99€, Stellaris für 9...
  4. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...

Haudegen 21. Nov 2018

Fragesatz. Mein Fehler. Persönlich sehe ich es nicht als synonym. Der Wechsel zwischen...

Neuro-Chef 10. Nov 2018

Eben, Virtualbox kann man bedenkenlos einsetzen, wenn es bequem und gut genug das tut...

kendon 09. Nov 2018

Die Einzigen die andere gefährden sind Oracle, indem sie den Bug ignorieren...

mschop 09. Nov 2018

Das ist kein schmaler Grad. Ich habe noch nie einem Anbieter gedroht, dass ich die...

gfa-g 09. Nov 2018

Kommt nicht mal annährend an die Funktionalität und Komfort von VB heran. Abgesehen...


Folgen Sie uns
       


Oneplus 7T - Fazit

Das Oneplus 7T ist der Nachfolger des Oneplus 7 - und hat einige interessante Hardware-Upgrades bekommen. Im Test von Golem.de schneidet das Smartphone entsprechend gut ab.

Oneplus 7T - Fazit Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /