image

Lek in VirtualBox maakt guest-to-host escape mogelijk

woensdag 7 november 2018, 14:46 door Redactie, 13 reacties

Een nieuwe kwetsbaarheid in Oracles virtualisatiesoftware VirtualBox maakt een guest-to-host escape mogelijk. Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen. In afwachting van een patch kunnen gebruikers zich echter beschermen door een standaardinstelling te wijzigen.

VirtualBox biedt gebruikers de mogelijkheid om op hun eigen systeem, de host, een virtual machine te draaien, wat het guest-systeem is. Beveiligingsonderzoekers gebruiken virtualisatiesoftware veelal om bijvoorbeeld malware te onderzoeken. De infectie blijft op deze manier alleen tot het guest-systeem beperkt.

Met behulp van de kwetsbaarheid kan een aanvaller met root- of adminrechten op het guest-systeem code met verminderde rechten op het host-systeem uitvoeren. Dit houdt in dat de aanvaller het guest-systeem al moet hebben gecompromitteerd, bijvoorbeeld via malware.

Aanpassen standaardconfiguratie

De kwetsbaarheid is aanwezig in de door VirtualBox gesimuleerde Intel PRO/1000 MT Desktop (82540EM) netwerkadapter wanneer die in de Network Address Translation (NAT) mode staat ingesteld. Dit is de standaardconfiguratie van VirtualBox.

Door het aanpassen van deze standaardconfiguratie kunnen gebruikers zich tegen aanvallen beschermen. De netwerkadapter moet dan naar "PCNet" of naar "Paravirtualized" worden aangepast.

De volgende patchronde van Oracle staat gepland voor 15 januari 2019. Het is onduidelijk of Oracle voor deze kwetsbaarheid van dit schema zal afwijken.

Reacties (13)
07-11-2018, 15:07 door Anoniem
Hier de publicatie:
https://github.com/MorteNoir1/virtualbox_e1000_0day

Mooie reden waarom hij het publiekelijk post. Bedrijven moeten maar even snel zijn als criminelen.
07-11-2018, 15:23 door -karma4 - Bijgewerkt: 07-11-2018, 15:24
Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen.
Unresponsible disclosure :-(

Deze onderzoeker kan op de zwarte lijst!
07-11-2018, 15:46 door PietdeVries - Bijgewerkt: 07-11-2018, 15:47
Door The FOSS:
Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen.
Unresponsible disclosure :-(

Deze onderzoeker kan op de zwarte lijst!

Heb je al nagezocht *waarom* de beste man dit gedaan heeft? Een beetje zoeken (Hackernews) geeft je de reden...

I like VirtualBox and it has nothing to do with why I publish a 0day vulnerability. The reason is my disagreement with contemporary state of infosec, especially of security research and bug bounty:

1. Wait half a year until a vulnerability is patched is considered fine.
2. In the bug bounty field these are considered fine:
- Wait more than month until a submitted vulnerability is verified and a decision to buy or not to buy is made.
- Change the decision on the fly. Today you figured out the bug bounty program will buy bugs in a software, week later you come with bugs and exploits and receive "not interested".
- Have not a precise list of software a bug bounty is interested to buy bugs in. Handy for bug bounties, awkward for researchers.
- Have not precise lower and upper bounds of vulnerability prices. There are many things influencing a price but researchers need to know what is worth to work on and what is not.
3. Delusion of grandeur and marketing bullshit: naming vulnerabilities and creating websites for them; making a thousand conferences in a year; exaggerating importance of own job as a security researcher; considering yourself "a world saviour". Come down, Your Highness.

I'm exhausted of the first two, therefore my move is full disclosure. Infosec, please move forward.


Maar goed, ik kan me voorstellen dat "maar wat roepen" een stuk sneller is...

https://github.com/MorteNoir1/virtualbox_e1000_0day
07-11-2018, 16:00 door -karma4 - Bijgewerkt: 07-11-2018, 16:01
Door PietdeVries:
Door The FOSS:
Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen.
Unresponsible disclosure :-(

Deze onderzoeker kan op de zwarte lijst!

Heb je al nagezocht *waarom* de beste man dit gedaan heeft? Een beetje zoeken (Hackernews) geeft je de reden...
...
Maar goed, ik kan me voorstellen dat "maar wat roepen" een stuk sneller is...

https://github.com/MorteNoir1/virtualbox_e1000_0day

Geweldig... Maar het blijft Unresponsible disclosure! Als die man problemen heeft met bepaalde zaken dan is dit niet de manier om dat aan te kaarten. Want hoe je het ook wendt of keert, dit gaat ten koste van de veiligheid van gebruikers.
07-11-2018, 16:03 door PietdeVries - Bijgewerkt: 07-11-2018, 16:04
Door The FOSS:
Geweldig... Maar het blijft Unresponsible disclosure! Als die man problemen heeft met bepaalde zaken dan is dit niet de manier om dat aan te kaarten. Want hoe je het ook wendt of keert, dit gaat ten koste van de veiligheid van gebruikers.

Kennelijk houdt 't een keertje op - zeker na al eerder een vulnerability te hebben gemeld zonder dat hier een reactie van Oracle op kwam. Wat moet je dan als onderzoeker? Het gat in de software maar onder de pet houden?

This [1] gives a little more background. The same security researcher found another vulnerability in VirtualBox earlier this year, and didn't have a great experience with Oracle:

“We reported this vulnerability to Oracle, the latest update from them is that they are still looking into it, while in fact the latest version of Oracle VirtualBox version 5.2.18 has silently introduced a patch without giving credit or mentioning of the vulnerability report.”

[1] https://blogs.securiteam.com/index.php/archives/3736


zie ook https://news.ycombinator.com/item?id=18395855
07-11-2018, 16:06 door -karma4 - Bijgewerkt: 07-11-2018, 16:09
Door PietdeVries:
Door The FOSS:
Geweldig... Maar het blijft Unresponsible disclosure! Als die man problemen heeft met bepaalde zaken dan is dit niet de manier om dat aan te kaarten. Want hoe je het ook wendt of keert, dit gaat ten koste van de veiligheid van gebruikers.

Kennelijk houdt 't een keertje op - zeker na al eerder een vulnerability te hebben gemeld zonder dat hier een reactie van Oracle op kwam. Wat moet je dan als onderzoeker? Het gat in de software maar onder de pet houden?

This [1] gives a little more background. The same security researcher found another vulnerability in VirtualBox earlier this year, and didn't have a great experience with Oracle:

“We reported this vulnerability to Oracle, the latest update from them is that they are still looking into it, while in fact the latest version of Oracle VirtualBox version 5.2.18 has silently introduced a patch without giving credit or mentioning of the vulnerability report.”

[1] https://blogs.securiteam.com/index.php/archives/3736


zie ook https://news.ycombinator.com/item?id=18395855

Aan de media melden dat hij een kwetsbaarheid heeft gevonden zonder in details te treden is net zo effectief. Met de optie van peerreview (*) achter de hand (als er getwijfeld zou worden aan zijn geloofwaardigheid).

(*) https://nl.wikipedia.org/wiki/Peerreview

-- The road to hell is paved with good intentions
07-11-2018, 16:40 door Anoniem
Door The FOSS: Geweldig... Maar het blijft Unresponsible disclosure! Als die man problemen heeft met bepaalde zaken dan is dit niet de manier om dat aan te kaarten. Want hoe je het ook wendt of keert, dit gaat ten koste van de veiligheid van gebruikers.
Kennelijk heeft deze onderzoeker bij een andere vulnerability de ervaring opgedaan dat Oracle die niet als beveiligingslek markeerde, de ticket 15 maanden open liet staan terwijl ze de ontdekker vertelden ermee bezig te zijn, waarop ontdekt werd dat hij gepatcht was zonder credits te geven. [1]

Responsible disclosure bestaat bij de gratie van bedrijven die goed met meldingen van veiligheidslekken omgaan. Voor het de norm was waren er bedrijven die traag of niet reageerden, en dat leverde een kamp op van mensen die meenden dat je alles het beste meteen op straat kon gooien, enerzijds om die bedrijven te dwingen scherp te blijven, anderzijds omdat ze redeneerden dat als zij een lek konden vinden iemand met kwade bedoelingen dat ook kan en dat het misbruikt kan worden zonder dat de wereld doorheeft dat het gaande is. Dat laatste is te zwartwit gedacht, vandaar dat een termijn voor reparatie na melding van bijvoorbeeld 3 maanden nu redelijk wordt gevonden, maar het eerste punt is wel degelijk van belang: als het nooit pijn doet zijn er bedrijven die het allemaal wel best vinden en die laks worden. En dan is dit een actie die op korte termijn overlast geeft voor gebruikers maar wel kan helpen Oracle scherp te houden, waar gebruikers op de lange termijn weer baat bij hebben.

De ernst van de situatie valt trouwens mee omdat er een eenvoudige workaround is. Niet het einde van de wereld.

[1] https://blogs.securiteam.com/index.php/archives/3736
07-11-2018, 17:48 door karma4
Door The FOSS:
Geweldig... Maar het blijft Unresponsible disclosure! Als die man problemen heeft met bepaalde zaken dan is dit niet de manier om dat aan te kaarten. Want hoe je het ook wendt of keert, dit gaat ten koste van de veiligheid van gebruikers.
Als er andere leverancier genoemd zou zijn dan reageer je totaal anders. Oracle en anderen zijn meesters om zich verbergen als er iets Infosec niet goed zit.
07-11-2018, 20:29 door -karma4 - Bijgewerkt: 07-11-2018, 20:34
Door karma4:
Door The FOSS:
Geweldig... Maar het blijft Unresponsible disclosure! Als die man problemen heeft met bepaalde zaken dan is dit niet de manier om dat aan te kaarten. Want hoe je het ook wendt of keert, dit gaat ten koste van de veiligheid van gebruikers.
Als er andere leverancier genoemd zou zijn dan reageer je totaal anders. Oracle en anderen zijn meesters om zich verbergen als er iets Infosec niet goed zit.

Ken jij andere gevallen waar een onderzoeker een kwetsbaarheid publiceert zonder de leverancier eerst de kans te geven om het probleem op te lossen? Zeg dat die leverancier daar 90 dagen voor krijgt en als het dan nog niet is opgelost, tsja...

In dit geval is om ervaringen uit het verleden besloten om Oracle maar helemaal niet de kans te geven het op te lossen. En dat is echt irresponsible disclosure. De onderzoeker had kunnen besluiten om Oracle op de hoogte te brengen en tegelijkertijd dit onder de aandacht van de media te brengen (zonder details te noemen). Dan was het doel ook bereikt.

-- The road to hell is paved with good intentions
08-11-2018, 10:05 door Anoniem
Ik snap de onderzoeker wel want ik heb dezelfde ervaring met bounties en miljoenen bedrijven. Als je zo graag software wil ontwikkelen en daar grof geld mee verdiend dien je ook zorgvuldig met vulnerability meldingen om te gaan.

De frustatie brengt met zich mee dat researchers het op deze openbare manier doen of zwart gaan.
10-11-2018, 14:57 door karma4 - Bijgewerkt: 10-11-2018, 14:57
Door The FOSS:
Ken jij andere gevallen waar een onderzoeker een kwetsbaarheid publiceert zonder de leverancier eerst de kans te geven om het probleem op te lossen? Zeg dat die leverancier daar 90 dagen voor krijgt en als het dan nog niet is opgelost, tsja...

In dit geval is om ervaringen uit het verleden besloten om Oracle maar helemaal niet de kans te geven het op te lossen. En dat is echt irresponsible disclosure. De onderzoeker had kunnen besluiten om Oracle op de hoogte te brengen en tegelijkertijd dit onder de aandacht van de media te brengen (zonder details te noemen). Dan was het doel ook bereikt.

-- The road to hell is paved with good intentions
Ik ken ene FOSS als evangelist heel zwart/wit die leverancier is mijn vijand en die is mijn vriend. "the road to hell ..."
Deze ken ik ook; https://www.autoblog.nl/nieuws/methode-om-vag-sleutels-te-hacken-toch-gepubliceerd-79284
De melder klokkenluider voortijdig monddood maken.


Dan hebben we nog:
- https://en.wikipedia.org/wiki/The_Shadow_Brokers
- https://www.privacyzone.nl/hackers-hebben-honderden-documenten-met-gegevens-over-kerncentrales-en-gevangenissen-buitgemaakt/ Weggelaten zijn de pogingen tot doelgerichte persoonlijke bedreigingen naar werknemers va Ingerop en meer. Vandaar de inzet van veiligheidsdiensten. Nogal dom om een server in die langer-August te laten gebruiken. Ik vermoed dat de aanval de beste kans had om te slagen met een standaard open benadering maar dat je dan weet die ook het eerste punt zal zijn waar een reactie op komt. Digitale oorlogvoering wijkt weinig af in strategie.
12-11-2018, 11:33 door -karma4
Meer wartaal...
12-11-2018, 12:23 door Anoniem
Door The FOSS:
Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen.
Unresponsible disclosure :-(

Deze onderzoeker kan op de zwarte lijst!

Alsof Oracle lekker bezig is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.