Unter Windows: Schwachstelle in Virtualbox verleiht Angreifern Systemrechte
Zwei Forscher haben unabhängig voneinander eine Schwachstelle in Oracles Virtualbox entdeckt. Angreifer können damit auf Windows-Hosts ihre Rechte ausweiten.
Wer auf einem Windows-Host die Virtualisierungssoftware Virtualbox von Oracle verwendet, sollte diese besser zeitnah auf die neueste Version aktualisieren, sofern noch nicht geschehen. Mit der Version 7.0.16 hat Oracle am 16. April eine LPE-Schwachstelle (Local Privilege Escalation) gepatcht, die es einem Angreifer mit geringen Privilegien ermöglicht, auf dem zugrunde liegenden Windows-System Systemrechte zu erlangen.
Die als CVE-2024-21111 registrierte Sicherheitslücke ist mit dem Schweregrad "hoch" (CVSS: 7,8) eingestuft und wurde unabhängig voneinander von zwei verschiedenen Sicherheitsforschern entdeckt: Filip Dragovic und Naor Hodorov.
Wie Letzterer auf Github erklärt, basiert die Schwachstelle auf der Art und Weise, wie Virtualbox mit den im Verzeichnis "C:\ProgramData\VirtualBox" abgelegten Protokolldateien verfährt.
Virtualbox verwaltet Protokolldateien mit Systemrechten
Die Software speichert demnach maximal 10 Dateien in dem genannten Verzeichnis und weist ihnen eine Ordnungszahl zu. Obwohl laut Hodorov im Grunde jeder Nutzer Schreibrechte auf den genannten Ordner hat, führt Virtualbox diesen Vorgang als "NT AUTHORITY\SYSTEM" aus. Taucht in dem Verzeichnis eine elfte Protokolldatei auf, so wird eine der Dateien gelöscht – was ebenfalls mit Systemrechten geschieht.
Beide Vorgänge lassen sich nach Angaben des Entdeckers für eine Rechteausweitung ausnutzen. Wie ein solcher Angriff aussehen kann, demonstriert Hodorov in zwei kurzen Videoclips auf Github. Darin führt er mit normalen Benutzerrechten jeweils eine spezielle .exe-Datei aus. In beiden Fällen erscheint daraufhin eine Konsole mit Systemrechten. Die Tools, die der Forscher dafür verwendete, sind in seinem Github-Repository zu finden.
An Oracle gemeldet hat Hodorov die Schwachstelle nach eigenen Angaben am 19. März. Seit dem 16. April steht mit der Virtualbox-Version 7.0.16 ein Patch bereit – er ist einer von insgesamt 441 Patches, die Oracle in diesem Monat für verschiedene Produkte aus seiner Produktpalette veröffentlicht hat.
Nachtrag vom 25. April 2024, 15:21 Uhr
Obwohl die Virtualbox-Version 7.0.16 vor CVE-2024-21111 schützt, scheint ein Update nicht für alle Nutzer ratsam zu sein. Auf der offiziellen Downloadseite des Projekts wird derzeit ausdrücklich vor Version 7.0.16 gewarnt, da es damit zu einem Absturz des Hostsystems kommen kann, sofern der Netzwerkmodus einer VM als Bridged oder Host-Only konfiguriert ist.
Bis Oracle dieses Problem gelöst hat, bleibt jenen Anwendern, die nicht auf einen alternativen Netzwerkmodus umsteigen können, also die Qual der Wahl: Entweder sie setzen sich den Risiken der Sicherheitslücke aus oder eben jenen eines möglichen Systemabsturzes.
Intel LAN Treiber können Windows OS zum Bluescreen bringen. Vor allem ausgerechnet...
Hab's mal mit aufgenommen, danke für die Info! Das war mir leider im ersten Anlauf nicht...
Kommentieren