El investigador de seguridad Naor Hodorov (aka @mansk1es) ha hecho público un exploit de prueba de concepto (PoC) para una vulnerabilidad grave (CVE-2024-21111 - CVSS:7.8) en Oracle VirtualBox.
Esta vulnerabilidad afecta a las versiones de VirtualBox anteriores a la 7.0.16 y permite a los atacantes con acceso básico a un sistema Windows que ejecuta VirtualBox escalar privilegios de forma local (LPE) hasta SYSTEM.
La vulnerabilidad explota una falla en la forma en que VirtualBox administra los archivos de registro. Los atacantes pueden engañar a VirtualBox para que haga un mal uso de sus privilegios de sistema de alto nivel para eliminar o mover archivos. Esto otorga a los atacantes la capacidad de manipular archivos críticos y potencialmente tomar el control total del sistema afectado.
CVE-2024-21111 permite a un atacante con acceso de bajo nivel a la máquina host y escalar privilegios hasta SYSTEM. El exploit aprovecha el manejo de archivos de registro por parte de VirtualBox, donde el software intenta mover los registros en C:\ProgramData\VirtualBox a posiciones de respaldo agregando un número ordinal. Sin embargo, debido a una falla en la forma en que se administran más de diez registros, VirtualBox se expone inadvertidamente a ataques de enlaces simbólicos que conducen a la eliminación o movimiento arbitrario de archivos.
Factores de riesgo
- Fácil de explotar: la vulnerabilidad se considera fácil de explotar, lo que aumenta el riesgo de ataques generalizados.
- Se dirige a Windows: este exploit específico afecta sólo a los sistemas basados en Windows que ejecutan VirtualBox.
- Compromiso total del sistema: una explotación exitosa podría dar a los atacantes control total sobre el sistema comprometido.
- La solución: el parche de Oracle
Afortunadamente, Oracle ha abordado la vulnerabilidad en su reciente actualización de parche crítico (abril de 2024). Esta actualización de parche es particularmente notable ya que aborda un total de 441 vulnerabilidades de seguridad en varios productos de Oracle, no solo en VirtualBox.
En este último ciclo de parches, Oracle Communications recibió la mayor parte de la atención, con 93 parches que representan aproximadamente el 21% del total de parches lanzados. A esto le siguieron de cerca Oracle Fusion Middleware y Oracle Financial Services Applications, que vieron 51 y 49 parches, respectivamente.
Si se utiliza Oracle VirtualBox en una máquina con Windows, es imperativo que actualice a la versión 7.0.18 o posterior inmediatamente.
Fuente: SecurityOnline