Un chercheur en sécurité russe, Sergey Zelenyuk, vient de publier les détails et une méthode d’exploitation d’une faille de sécurité dans le client de virtualisation VirtualBox, qui prépare actuellement sa version 6.0.
La vulnérabilité existe jusque dans l’actuelle révision stable et a pu être exploitée avec succès sur les versions 16.04 et 18.04 d’Ubuntu. Elle peut en théorie être exploitée partout puisqu’elle réside dans une partie du code commune à toutes les plateformes, VirtualBox fonctionnant sous Linux, macOS, Windows et autres.
Une fois exploitée, la faille permet au pirate de s’échapper de la machine virtuelle et d’accéder au Ring 3 du système hôte, autrement dit l’espace applicatif, celui ayant le moins de privilèges. Il faut donc que la brèche soit couplée avec une ou plusieurs autres pour provoquer une escalade qui permettra l’obtention de droits supplémentaires.
Sergey Zelenyuk n’a pas choisi de fournir les détails à Oracle de manière discrète. Sa publication s’adresse à tous, de même que sa méthode d’exploitation.
Dans son billet de blog, il explique les raisons de son geste : les déclarations de bugs à Oracle lui ont laissé un goût amer. L’éditeur a par exemple mis 6 mois à corriger une vulnérabilité qu’il lui avait signalée, de manière silencieuse et via un bug bounty fonctionnant a priori bien mal.
Oracle n’a donc pas le choix, la faille doit être corrigée rapidement puisque rendue publique. Toute vulnérabilité permettant de s’échapper d’une sandbox est toujours considéré comme très sérieuse.
Commentaires (3)
#1
La politique d’entreprise d’Oracle restée au siècle dernier…
#2
Comme beaucoup trop de boîtes encore aujourd’hui :-)
#3
Il aurait été utile de préciser que la faille n’existe que pour les VMs en mode NAT.