Vulnerabilidad 0-day en VirtualBox permite la ejecución de código en el sistema anfitrión

En un mundo en el que la virtualización de sistemas proporciona un considerable ahorro a empresas de todo tipo, cualquier vulnerabilidad en alguno de los sistemas más utilizados debe ser tomada con extrema precaución. Las implicaciones de que una amenaza supuestamente contenida en un entorno virtualizado pueda saltar al sistema anfitrión son extremadamente perjudiciales y, por eso, la reciente publicación de una vulnerabilidad sin parche por el momento que afecta a Virtual Box debe ser tratada con la importancia que se merece.

Reporte de la vulnerabilidad

El investigador ruso Sergey Zelenyuk fue quien publicó recientemente todos los detalles de esta vulnerabilidad que permitiría a un atacante conseguir ejecutar código en el sistema anfitrión desde un sistema virtualizado con Virtual Box en las versiones 5.2.20 y anteriores. Esta publicación se realizó sin esperar a que se publicase un parche que la solucionase por parte de Oracle lo que pone en peligro a todos los usuarios de este software de virtualización hasta que la empresa publique una actualización con la debida solución a este fallo de seguridad.

Según el propio investigador, se decidió por hacer lo que se conoce como un full disclosure debido a su desacuerdo con el actual estado de la industria de la ciberseguridad, especialmente con todo lo desarrollado con la búsqueda de fallos y recompensas. Igualmente, Sergey no ve aceptable que se tome como algo normal tener que esperar hasta seis meses para solucionar un fallo de seguridad de estas características o que algunos fabricantes se nieguen a aceptar como fallos y a pagar la debida recompensa a los investigadores por vulnerabilidades que sí representan una amenaza.

Si bien el investigador puede tener sus motivos y seguir su propia ética la hora de reportar vulnerabilidades, también hay que tener en cuenta que con esta publicación se pone en riesgo a miles de usuarios, puesto que cualquier atacante puede aprovecharse los detalles proporcionados para lanzar sus propios ataques.

Funcionamiento del exploit

Para demostrar la existencia de esta vulnerabilidad Sergey ha preparado un exploit que funciona con una máquina virtual corriendo en Virtual Box con la configuración predefinida por defecto. Esto es, con una tarjeta de red configurada como Intel PRO/1000 MT Desktop (82540EM) en modo NAT. En la demostración realizada, el investigador utilizó un sistema Ubuntu tanto para el sistema huésped como el anfitrión, pero cree posible hacer funcionar este mismo exploit bajo un sistema Windows.

Esta vulnerabilidad se aprovecha de un fallo en la corrupción de memoría, algo que puede ser utilizado por un atacante para realizar una escalada de privilegios y obtener permisos de root o administrador del sistema para así poder saltar de un sistema huésped a uno anfitrión en ring3. Seguidamente, el atacante puede hacer uso de técnicas conocidas para seguir escalando privilegios hasta llegar al ring 0.

El investigador recomienda cambiar la configuración que viene por defecto en aquellos sistemas virtualizados en los que sea posible hasta que Oracle lance un parche de seguridad que solucione este fallo. Para ello aconseja cambiar la tarjeta de red predefinida a cualquiera de las opciones PCnet o a una red paravirtualizada, siendo la primera de las opciones más segura que la segunda.

Conclusión

Este tipo de vulnerabilidades son especialmente peligrosos en aquellos entornos en los que se hace un uso intensivo de la virtualización e incluso pueden llegar a afectar a aquellos especialistas que se dedican a analizar malware si no configuran adecuadamente sus máquinas virtualizadas. Si bien optar por el full disclosure no parece la mejor opción si tenemos en cuenta la seguridad de los usuarios de Virtual Box, es posible que esto haga que la Oracle se de más prisa de lo habitual en solucionar esta vulnerabilidad mediante un parche, parche que recomendamos instalar tan pronto como esté disponible.

Josep Albors

“Solicitud de presupuesto”: Análisis de una campaña de emails maliciosos dirigida a usuarios españoles y portugueses