Categories: Sicherheit

Hacker veröffentlicht Zero-Day-Lücke in Virtualbox

Der russische Hacker und Sicherheitsforscher Sergey Zelenyuk hat auf GitHub Einzelheiten über eine Zero-Day-Lücke in Oracles Virtualisierungssoftware Virtualbox veröffentlicht. Eine Kette von Anfälligkeiten führt demnach dazu, dass bösartiger Code aus dem in einer Virtuellen Maschine ausgeführten Gast-Betriebssystem entkommt und mit erhöhten Berechtigungen auf dem darunterliegenden Host-Betriebssystem ausgeführt wird.

Laut Zelenyuk betrifft die Zero-Day-Lücke alle derzeit verfügbaren Releases von Virtualbox, unabhängig vom jeweils eingesetzten Gast- oder Host-Betriebssystem. Der Fehler sei zudem eindeutig in der Standardkonfiguration neu geschaffener VMs zu demonstrieren. „Der Exploit ist 100 Prozent verlässlich“, so der Sicherheitsforscher. Er zeigt den Ablauf außerdem in einem Video mit einer Ubuntu-VM, die in einer Virtualbox auf einem Ubuntu-Gastbetriebssystem läuft.

Keine Gefahr besteht offenbar für Cloud-Hosting-Umgebungen, die sich zwar stark auf Virtuelle Maschinen verlassen, aber einen anderen Hypervisor-Typ als Virtualbox einsetzen. Besonders ärgerlich ist die Lücke aber ausgerechnet für Sicherheitsforscher, die Virtualbox bevorzugt für ihre alltägliche Malware-Analyse und Reverse-Engineering einsetzen.

Sie müssen daher selbst mit einer Infektion ihres primären Betriebssystems rechnen, wenn Malware-Autoren einen entsprechenden Exploit integrieren. Zelenyuk weist jedoch zugleich auf eine relativ einfache Entschärfung des Problems hin. Solange Oracle keinen Patch liefert, empfiehlt er die Abwahl der von Virtualbox standardmäßig eingerichteten virtuellen Netzwerkkarte. Ratsam sei zudem der Wechsel von NAT zu einem anderen Netzwerkmodus.

Die neue Enthüllung folgt einer früheren Entdeckung des Sicherheitsforschers, bei der es ebenfalls um Virtualbox und aus der VM entkommenen Schadcode ging. Obwohl er diese Schwachstelle bereits Mitte 2017 berichtete, benötigte Oracle über 15 Monate zu ihrer Behebung.

Verärgerung über Oracle war offenbar auch Anlass für die Veröffentlichung der neuen Zero-Day-Lücke ohne jede Vorwarnung. „Ich schätze Virtualbox“, schreibt Sergey Zelenyuk und betont, seine vollständige Enthüllung des Sicherheitslochs habe nichts mit der Virtualisierungssoftware selbst zu tun. Ohne Oracle selbst beim Namen zu nennen, führt er jedoch gängige Praktiken rund um gemeldete Sicherheitslücken und Bug-Prämien an, die ihm gründlich missfallen.

[mit Material von Catalin Cimpanu, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

UPDF: PDF-Software zu einem Viertel des Preises von Adobe

PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!

10 Stunden ago

Neuer Bedarf an Workplace Services durch DEX und KI

ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.

11 Stunden ago

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

2 Tagen ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

2 Tagen ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

2 Tagen ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

3 Tagen ago