Pesquisador libera zero day do VirtualBox sem avisar Oracle

Paulo Brito
09/11/2018
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O pesquisador autônomo russo Sergey Zelenyuk descobriu uma vulnerabilidade não documentada no software de virtualização VirtualBox, da Oracle, um dos mais utilizados em todo o mundo. Em outras palavras, descobriu um “zero day”, e publicou os detalhes do problema sem qualquer aviso à Oracle, ao contrário da prática usual da comunidade de segurança. Normalmente os pesquisadores informam o responsável pelo software e aguardam a publicação dos patches antes de botar a boca no trombone e contar tudo sobre a descoberta.

Zelenyuk, no entanto, afirma na publicação que cansou de esperar recompensas dos fabricantes e que perdeu a paciência.

A vulnerabilidade existe em todas as versões, como diz o pesquisador em sua paǵina do GitHub. Segundo ele, o problema está no dispositivo virtual de rede do VirtualBox, que normalmente é o Intel PRO / 1000 MT Desktop (82540EM), usando NAT como modo de rede padrão. A vulnerabilidade permite que um invasor com privilégios de administrador ou root consiga fazer um escape – um dos piores problemas para uma máquina virtual -, alcançando o território do host ring0, ou seja, o kernel, onde a máquina estará totalmente dominada.

Toda a descrição da prova de conceito (POC ou proof of concept) se encontra na página do pesquisador.

Você pode conferir a POC abaixo no vídeo que ele gravou:

[box type=”note” style=”rounded” border=”full”]O VirtualBox foi originalmente desenvolvido pela Innotek GmbH, na Alemanha, e lançado em 2007 como um pacote de software de código aberto. A empresa foi posteriormente comprada pela Sun Microsystems. Depois, a Sun foi comprada pela Oracle, que agora é a desenvolvedora desse pacote de software e o chama de Oracle VM VirtualBox.[/box]

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest