10 nuevas vulnerabilidades descubiertas en VirtualBox

Oracle ha lanzado parches para diez vulnerabilidades en VirtualBox que permiten a los atacantes salir de los sistemas operativos invitados y atacar el sistema operativo host en el que se ejecuta VirtualBox. Las explotaciones que utilizan este método, conocido como "escape de máquina virtual", han sido objeto de intenso interés entre los investigadores de seguridad tras la divulgación de la vulnerabilidad de Venom en 2015.

Las vulnerabilidades se publican colectivamente como CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE- 2018-2693, CVE-2018-2694 y CVE-2018-2698. Si bien todos comparten el mismo efecto resultante, el método involucrado, y posteriormente la facilidad con la que los atacantes pueden aprovechar la vulnerabilidad, varía.

Vulnerabilidad en la interfaz de memoria compartida

De particular interés es CVE-2018-2698, que fue descubierto por Niklas Baumstark e informado por Beyond Security. Esta vulnerabilidad existe en el marco de la gestión de gráficos de VirtualBox y es explotable en cualquier sistema operativo host. Específicamente, el dispositivo VGA que VirtualBox proporciona a los sistemas operativos invitados tiene asignada VRAM, que se refleja entre el proceso de host y el kernel invitado.

Esta memoria cumple una función doble, ya que la interfaz de memoria compartida del host/huésped (HGSMI) se maneja a través del dispositivo VGA. Este componente se usa para compartir información entre los sistemas operativos invitados y host, y también habilita funciones como la integración del puntero del ratón y ventanas integradas, que permiten que las aplicaciones de invitado se ejecuten como una superposición en el sistema operativo host, una función llamada "Unity" en VMware y "Coherencia" en Parallels Desktop. HGSMI también se puede usar para copiar datos a VRAM. Esta capacidad de copia proporciona a los atacantes en el SO invitado un medio para leer y escribir datos fuera del límite en el host.

Según Baumstark, esto permite a los atacantes ejecutar operaciones arbitrarias en un host de Windows 10 como SISTEMA.

Explosión de comunicación del dispositivo VMM

Otro componente de VirtualBox, vmmdev, el puente de comunicaciones entre el sistema operativo host y el paquete VirtualBox Guest Additions, tiene una vulnerabilidad que permite la escalada de privilegios en los hosts de Mac OS X. Esto está cubierto por CVE-2018-2694.

Del mismo modo, una vulnerabilidad en Guest Additions en CVE-2018-2693 permite a los atacantes obtener acceso a la plataforma de host. Las notas en NVD indican que, si bien esto es fácil de explotar, requiere que alguien que no sea el atacante tome medidas.

Aunque se han emitido parches, los detalles completos de las vulnerabilidades aún no están disponibles.

¿A quién afectan estas vulnerabilidades?

Cualquiera que use VirtualBox es potencialmente vulnerable a los CVE enumerados, aunque algunas de las vulnerabilidades informadas son específicas de los SO del host. Los parches recién lanzados están disponibles en la última versión (5.2.6), así como en la rama oldstable (5.1.32). Para usuarios que ejecutan código no confiable en máquinas virtuales invitadas, se recomienda una actualización urgente. Debido a que las vulnerabilidades afectan tanto al Hipervisor de VirtualBox como a las adiciones de invitados, también es necesario actualizar las adiciones de invitados dentro de sus máquinas virtuales.

Si bien VirtualBox es un popular hipervisor de propósito general, es más comúnmente utilizado para la virtualización de escritorio. En comparación con otros productos, VirtualBox tiene un soporte más extenso y confiable para sistemas operativos invitados exóticos o raros, como OS/2 y Haiku.

El soporte para el controlador de invitado de VirtualBox también se está integrando en el kernel de Linux a partir de la versión 4.16. También se está trabajando en el mantenimiento del controlador de carpeta compartida, aunque no se espera que esté listo a tiempo; se espera que se agregue en la ventana de fusión para kernel 4.17. El siguiente paso para Hans de Goede de Red Hat es aterrizar el controlador "vboxsf" para el soporte de carpetas compartidas de invitados de VirtualBox. El controlador de la carpeta compartida depende de vboxguest y los parches para su revisión están ahora en la lista de espera, pero es probable que sea demasiado tarde para acceder a Linux 4.16.

Para las operaciones de servidor y en la nube, los hipervisores como KVM y VMware son más comunes, al igual que las aplicaciones de contenedor como Docker.