Уязвимость CVE-2024-21111. Послевкусие
Этот документ погружает в захватывающий мир CVE-2024-21111, восхитительной уязвимости в Oracle VM VirtualBox, которая просто обожает сеять хаос на хостингах Windows. Мы рассмотрим эту жемчужину со всех возможных сторон, потому что кому не понравится хороший кошмар с точки зрения безопасности?
В этом документе содержится подробное описание уязвимости, предлагающее информацию специалистам по безопасности и другим заинтересованным сторонам, которые просто не могут нарадоваться на подобные проблемы. Этот анализ является обязательным для прочтения всем, кто хочет понять риски, связанные с CVE-2024-21111, и принять меры для предотвращения того, чтобы их системы не стали следующей жертвой. Наслаждайтесь!
документ содержит анализ CVE-2024–2111, уязвимости в Oracle VM VirtualBox, влияющей на хосты Windows. Анализ охватывает различные аспекты уязвимости, включая её технические детали, механизмы использования, потенциальное воздействие на различные отрасли.
Этот документ содержит высококачественное описание уязвимости, предлагая ценную информацию специалистам по безопасности и другим заинтересованным сторонам из различных отраслей. Анализ полезен для понимания рисков, связанных с CVE-2024–2111, и внедрения эффективных мер по защите систем от потенциальных атак.
CVE-2024-2111 — это уязвимость системы безопасности, выявленная в Oracle VM VirtualBox, которая, в частности, затрагивает хосты Windows и присутствует в версиях до версии 7.0.16. Это позволяет злоумышленнику с низкими привилегиями, имеющему доступ для входа в систему, к инфраструктуре, где выполняется Oracle VM VirtualBox, потенциально захватить систему
Злоумышленник, использующий эту уязвимость, может получить несанкционированный контроль над уязвимой виртуальной машиной Oracle VirtualBox. Конкретный технический механизм включает локальное повышение привилегий посредством перехода по символической ссылке, что может привести к произвольному удалению и перемещению файла.
📌 Тип уязвимости: локальное повышение привилегий (LPE) позволяет злоумышленнику с низкими привилегиями, у которого уже есть доступ к системе, получить более высокие привилегии.
📌 Вектор атаки и сложность: Вектор CVSS 3.1 для этой уязвимости равен (CVSS: 3.1/AV: L/AC: L/PR: L/ UI: N/ S: U/C: H/I: H /A: H). Это указывает на то, что вектор атаки локальный (AV: L), что означает, что злоумышленнику необходим локальный доступ к хосту. Сложность атаки низкая (AC: L), и никакого взаимодействия с пользователем (UI: N) не требуется. Требуемые привилегии невелики (PR: L), что предполагает, что базовые привилегии позволяют воспользоваться этой уязвимостью.
📌 Воздействие: Все показатели воздействия на конфиденциальность, целостность и доступность оцениваются как высокие (C: H/I: H/A: H), что указывает на то, что эксплойт может привести к полному нарушению конфиденциальности, целостности и доступности уязвимой системы.
📌 Способ эксплуатации: Уязвимость реализуется атакой с символическими ссылкам (symlink). Это включает в себя манипулирование ссылками для перенаправления операций, предназначенных для легитимных файлов или каталогов, на другие подконтрольные цели, приводя к произвольному удалению или перемещению файла, и позволяя выполнять произвольный код с привилегиями.
📌 Конкретный механизм: Уязвимость конкретно связана с манипуляциями с файлами журналов системной службой VirtualBox (VboxSDS). Служба, работающая с системными привилегиями, управляет файлами журнала в каталоге, не имеющими строгого контроля доступа, что потенциально приводит к повышению привилегий. Служба выполняет операции переименования / перемещения файлов рекурсивно, что позволяет этим злоупотреблять.
📌 Меры по устранению этой уязвимости: Пользователям рекомендуется обновить свои установки Oracle VM VirtualBox до версии 7.0.16 или более поздней, которая содержит необходимые исправления для устранения этой уязвимости
Подробный разбор (PDF)