İçeriğe geçmek için "Enter"a basın

VirtualBox Zero-Day Açığı

Bir Rus güvenlik araştırmacısı, Oracle’ın sanal makineleri çalıştırmak için yaygın olarak kullanılan yani sanallaştırma platformu olan VirtualBox’ta bir zero-day (sıfır gün) açığı keşfetti. Güvenlik araştırmacısı Sergey Zelenyuk, bulgularını 6 Kasım’da VirtualBox’a haber vermeksizin tüm ayrıntılarıyla Github üzerinden yayınladı, yani yayınladığı sırada hiçbir güvenlik yaması mevcut değildi.

Yeni keşfedilen bu güvenlik açığı, root/yönetici haklarına sahip bir saldırganın veya kötü amaçlı programın sanal makineden kaçmasına ve kullanıcı programlarının çoğunun kodlamasını minimum ayrıcalıklarla çalıştırmak için kullanılan Ring 3 uygulama katmanına kolayca ve doğrudan erişimine izin veriyordu. Başarıyla istismar edilmesinin ardından, araştırmacı, saldırganın diğer güvenlik açıklarını kullanarak ana makine üzerinde kernel yani çekirdek ayrıcalıklarına (ring 0) sahip olabileceğine inanmaktadır.

Açığın VirtualBox 5.2.20 ve önceki sürümleri etkilediğini söyledi. Bu güvenlik açığından yararlanabilmek için, ağ kartının bir Intel PRO / 1000 MT Masaüstü (82540EM) olması ve VirtualBox’un NAT moduna ayarlanmış olması gereklidir

İSTİSMARIN VİDEOSUNU DA YAYINLADI

Rus araştırmacı Ubuntu ana işletim sisteminde Virtualbox üzerinde kurulu Ubuntu sanal makinasına karşı gerçekleştirdiği istismarın bir de videosunu paylaştı. Ancak istismarın Windows platformuna karşı da çalıştığını inanıyor. Zelenyuk, exploitin %100 güvenilir olduğunu yani ya her zaman çalıştığını ya da hiç çalışmadığını söylüyor. Çalışmamasının sebebinin de uyumsuz olan binary dosyalarının ya da daha ince detayların olabileceğini söylüyor.

Araştırmacının yayınladığı istismarın çalıştırılması kolay değilken, nasıl çalıştırılacağına dair tüm ayrıntılar videoda gösterilmektedir.

PEKİ BU AÇIĞA KARŞI NASIL BİR ÖNLEM ALABİLİRİZ?

Zelenyuk istismardan korunmak için bir yama yayınlanana kadar şu önlemlerin alınabileceğinden bahsetti:

  • Sanal makinenizin network kartının PCnet veya Paravirtualized Network olarak dönüştürülmesi.
  • İlk durumun yapılamaması durumunda ise network modunu NAT modundan başka bir moda çevrilmesi.

Ek olarak ilk önlemin diğerine göre daha güvenilir olduğunu belirtti.

NEDEN ORACLE’A BİLDİRMEK YERİNE AÇIKÇA YAYINLADI?

Zelenyuk istismarı neden açık bir şekilde tüm ayrıntılarıyla ortaya çıkardığının da açıkladı. Virtualbox’ı sevdiğini ama zero-day açığını yayınlamasının bununla ilgili olmadığını söyledi. Özellikle güvenlik araştırması ve bug bounty başta olmak üzere bilgi güvenliği sektörünün güncel durumu hakkındaki memnuniyetsizliğinin asıl sebep olduğunu söyledi.

ARAŞTIRMACILAR ENDİŞELİ!

Güvenlik araştırmacıları Virtualbox’ın zararlı yazılım analizi ve tersine mühendislik uygulamaları için kullanılan en popüler VM aracı olmasından dolayı bu istismar konusunda endişe duyuyorlar. Araştırmacılar, saldırganların zero-day istismar zincirini zararlı yazılımlara gömebileceklerini ve daha sonra sanal makinenin atlatılarak, güvenlik analistlerinin ana işletim sisteminin hedef alınabileceğini düşünüyorlar.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir