Der russische Hacker und Sicherheitsforscher Sergey Zelenyuk hat auf GitHub Einzelheiten über eine Zero-Day-Lücke in Oracles Virtualisierungssoftware Virtualbox veröffentlicht. Eine Kette von Anfälligkeiten führt demnach dazu, dass bösartiger Code aus dem in einer Virtuellen Maschine ausgeführten Gast-Betriebssystem entkommt und mit erhöhten Berechtigungen auf dem darunterliegenden Host-Betriebssystem ausgeführt wird.
Laut Zelenyuk betrifft die Zero-Day-Lücke alle derzeit verfügbaren Releases von Virtualbox, unabhängig vom jeweils eingesetzten Gast- oder Host-Betriebssystem. Der Fehler sei zudem eindeutig in der Standardkonfiguration neu geschaffener VMs zu demonstrieren. „Der Exploit ist 100 Prozent verlässlich“, so der Sicherheitsforscher. Er zeigt den Ablauf außerdem in einem Video mit einer Ubuntu-VM, die in einer Virtualbox auf einem Ubuntu-Gastbetriebssystem läuft.
Keine Gefahr besteht offenbar für Cloud-Hosting-Umgebungen, die sich zwar stark auf Virtuelle Maschinen verlassen, aber einen anderen Hypervisor-Typ als Virtualbox einsetzen. Besonders ärgerlich ist die Lücke aber ausgerechnet für Sicherheitsforscher, die Virtualbox bevorzugt für ihre alltägliche Malware-Analyse und Reverse-Engineering einsetzen.
Sie müssen daher selbst mit einer Infektion ihres primären Betriebssystems rechnen, wenn Malware-Autoren einen entsprechenden Exploit integrieren. Zelenyuk weist jedoch zugleich auf eine relativ einfache Entschärfung des Problems hin. Solange Oracle keinen Patch liefert, empfiehlt er die Abwahl der von Virtualbox standardmäßig eingerichteten virtuellen Netzwerkkarte. Ratsam sei zudem der Wechsel von NAT zu einem anderen Netzwerkmodus.
Die neue Enthüllung folgt einer früheren Entdeckung des Sicherheitsforschers, bei der es ebenfalls um Virtualbox und aus der VM entkommenen Schadcode ging. Obwohl er diese Schwachstelle bereits Mitte 2017 berichtete, benötigte Oracle über 15 Monate zu ihrer Behebung.
Verärgerung über Oracle war offenbar auch Anlass für die Veröffentlichung der neuen Zero-Day-Lücke ohne jede Vorwarnung. „Ich schätze Virtualbox“, schreibt Sergey Zelenyuk und betont, seine vollständige Enthüllung des Sicherheitslochs habe nichts mit der Virtualisierungssoftware selbst zu tun. Ohne Oracle selbst beim Namen zu nennen, führt er jedoch gängige Praktiken rund um gemeldete Sicherheitslücken und Bug-Prämien an, die ihm gründlich missfallen.
[mit Material von Catalin Cimpanu, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
