Der russische Hacker und Sicherheitsforscher Sergey Zelenyuk hat auf GitHub Einzelheiten über eine Zero-Day-Lücke in Oracles Virtualisierungssoftware Virtualbox veröffentlicht. Eine Kette von Anfälligkeiten führt demnach dazu, dass bösartiger Code aus dem in einer Virtuellen Maschine ausgeführten Gast-Betriebssystem entkommt und mit erhöhten Berechtigungen auf dem darunterliegenden Host-Betriebssystem ausgeführt wird.
Laut Zelenyuk betrifft die Zero-Day-Lücke alle derzeit verfügbaren Releases von Virtualbox, unabhängig vom jeweils eingesetzten Gast- oder Host-Betriebssystem. Der Fehler sei zudem eindeutig in der Standardkonfiguration neu geschaffener VMs zu demonstrieren. „Der Exploit ist 100 Prozent verlässlich“, so der Sicherheitsforscher. Er zeigt den Ablauf außerdem in einem Video mit einer Ubuntu-VM, die in einer Virtualbox auf einem Ubuntu-Gastbetriebssystem läuft.
Keine Gefahr besteht offenbar für Cloud-Hosting-Umgebungen, die sich zwar stark auf Virtuelle Maschinen verlassen, aber einen anderen Hypervisor-Typ als Virtualbox einsetzen. Besonders ärgerlich ist die Lücke aber ausgerechnet für Sicherheitsforscher, die Virtualbox bevorzugt für ihre alltägliche Malware-Analyse und Reverse-Engineering einsetzen.
Sie müssen daher selbst mit einer Infektion ihres primären Betriebssystems rechnen, wenn Malware-Autoren einen entsprechenden Exploit integrieren. Zelenyuk weist jedoch zugleich auf eine relativ einfache Entschärfung des Problems hin. Solange Oracle keinen Patch liefert, empfiehlt er die Abwahl der von Virtualbox standardmäßig eingerichteten virtuellen Netzwerkkarte. Ratsam sei zudem der Wechsel von NAT zu einem anderen Netzwerkmodus.
Die neue Enthüllung folgt einer früheren Entdeckung des Sicherheitsforschers, bei der es ebenfalls um Virtualbox und aus der VM entkommenen Schadcode ging. Obwohl er diese Schwachstelle bereits Mitte 2017 berichtete, benötigte Oracle über 15 Monate zu ihrer Behebung.
Verärgerung über Oracle war offenbar auch Anlass für die Veröffentlichung der neuen Zero-Day-Lücke ohne jede Vorwarnung. „Ich schätze Virtualbox“, schreibt Sergey Zelenyuk und betont, seine vollständige Enthüllung des Sicherheitslochs habe nichts mit der Virtualisierungssoftware selbst zu tun. Ohne Oracle selbst beim Namen zu nennen, führt er jedoch gängige Praktiken rund um gemeldete Sicherheitslücken und Bug-Prämien an, die ihm gründlich missfallen. 
[mit Material von Catalin Cimpanu, ZDNet.com]
Neueste Kommentare
Noch keine Kommentare zu Hacker veröffentlicht Zero-Day-Lücke in Virtualbox
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.