Unter Windows: Schwachstelle in Virtualbox verleiht Angreifern Systemrechte

Zwei Forscher haben unabhängig voneinander eine Schwachstelle in Oracles Virtualbox entdeckt. Angreifer können damit auf Windows-Hosts ihre Rechte ausweiten.

Artikel veröffentlicht am , Marc Stöckel
Oracle hat eine schwerwiegende Sicherheitslücke in Virtualbox geschlossen.
Oracle hat eine schwerwiegende Sicherheitslücke in Virtualbox geschlossen. (Bild: Justin Sullivan/Getty Images)

Wer auf einem Windows-Host die Virtualisierungssoftware Virtualbox von Oracle verwendet, sollte diese besser zeitnah auf die neueste Version aktualisieren, sofern noch nicht geschehen. Mit der Version 7.0.16 hat Oracle am 16. April eine LPE-Schwachstelle (Local Privilege Escalation) gepatcht, die es einem Angreifer mit geringen Privilegien ermöglicht, auf dem zugrunde liegenden Windows-System Systemrechte zu erlangen.

Die als CVE-2024-21111 registrierte Sicherheitslücke ist mit dem Schweregrad "hoch" (CVSS: 7,8) eingestuft und wurde unabhängig voneinander von zwei verschiedenen Sicherheitsforschern entdeckt: Filip Dragovic und Naor Hodorov.

Wie Letzterer auf Github erklärt, basiert die Schwachstelle auf der Art und Weise, wie Virtualbox mit den im Verzeichnis "C:\ProgramData\VirtualBox" abgelegten Protokolldateien verfährt.

Virtualbox verwaltet Protokolldateien mit Systemrechten

Die Software speichert demnach maximal 10 Dateien in dem genannten Verzeichnis und weist ihnen eine Ordnungszahl zu. Obwohl laut Hodorov im Grunde jeder Nutzer Schreibrechte auf den genannten Ordner hat, führt Virtualbox diesen Vorgang als "NT AUTHORITY\SYSTEM" aus. Taucht in dem Verzeichnis eine elfte Protokolldatei auf, so wird eine der Dateien gelöscht – was ebenfalls mit Systemrechten geschieht.

Beide Vorgänge lassen sich nach Angaben des Entdeckers für eine Rechteausweitung ausnutzen. Wie ein solcher Angriff aussehen kann, demonstriert Hodorov in zwei kurzen Videoclips auf Github. Darin führt er mit normalen Benutzerrechten jeweils eine spezielle .exe-Datei aus. In beiden Fällen erscheint daraufhin eine Konsole mit Systemrechten. Die Tools, die der Forscher dafür verwendete, sind in seinem Github-Repository zu finden.

An Oracle gemeldet hat Hodorov die Schwachstelle nach eigenen Angaben am 19. März. Seit dem 16. April steht mit der Virtualbox-Version 7.0.16 ein Patch bereit – er ist einer von insgesamt 441 Patches, die Oracle in diesem Monat für verschiedene Produkte aus seiner Produktpalette veröffentlicht hat.

Nachtrag vom 25. April 2024, 15:21 Uhr

Obwohl die Virtualbox-Version 7.0.16 vor CVE-2024-21111 schützt, scheint ein Update nicht für alle Nutzer ratsam zu sein. Auf der offiziellen Downloadseite des Projekts wird derzeit ausdrücklich vor Version 7.0.16 gewarnt, da es damit zu einem Absturz des Hostsystems kommen kann, sofern der Netzwerkmodus einer VM als Bridged oder Host-Only konfiguriert ist.

Bis Oracle dieses Problem gelöst hat, bleibt jenen Anwendern, die nicht auf einen alternativen Netzwerkmodus umsteigen können, also die Qual der Wahl: Entweder sie setzen sich den Risiken der Sicherheitslücke aus oder eben jenen eines möglichen Systemabsturzes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Supercomputer Aurora
Das Sorgenkind macht weiterhin Probleme

Auf dem Papier ist Aurora der leistungsfähigste Supercomputer der Welt, real ist er eine Enttäuschung. Die Erklärungen des Betreibers sind dürftig.
Eine Analyse von Johannes Hiltscher

Supercomputer Aurora: Das Sorgenkind macht weiterhin Probleme
Artikel
  1. Elektro-Passat: VW ID.7 erstes Auto mit Bestnote im neuen ADAC-Test
    Elektro-Passat
    VW ID.7 erstes Auto mit Bestnote im neuen ADAC-Test

    Die Elektrolimousine von VW hat die Tester des ADAC überzeugt - und schnitt als einziges mit sehr gut ab.

  2. FRMCS: Neuer Bahnfunk bringt auch mehr Datenrate für Fahrgäste
    FRMCS
    Neuer Bahnfunk bringt auch mehr Datenrate für Fahrgäste

    Die Deutsche Bahn will den Folgestandard zu GSM-R einführen. FRMCS braucht viele neue Antennen an der Schiene.

  3. IT-Projektplattformen Malt und Upwork: Coworking-Oase vs. Straßenbasar
    IT-Projektplattformen Malt und Upwork
    Coworking-Oase vs. Straßenbasar

    Fünf Monate, vier Aufträge, viele Erfahrungen: Was ich als Freelancer auf den IT-Projektplattformen Malt und Upwork gelernt habe.
    Ein Erfahrungsbericht von Rene Schmidt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Logitech G915 155€ • Be Quiet Base 701 Midi 179,90€ • Alternate: Alphacool Apex Stealth Metal Gehäuselüfter 22,90€, NZXT H6 Flow RGB Tower-Gehäuse 119,90€ • PCGH Cyber Week: Speicher von ADATA zu Bestpreisen • Einhell-Werkzeuge im Angebot [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /