Hacker veröffentlicht Zero-Day-Lücke in Virtualbox

Bösartiger Code entkommt dem Gast-Betriebssystem und infiziert das Host-Betriebssystem. Der Fehler tritt in der Standardkonfiguration einer neu geschaffenen VM auf. Die Offenlegung erfolgt aus Verärgerung über Oracles Umgang mit gemeldeten Sicherheitslücken.

Der russische Hacker und Sicherheitsforscher Sergey Zelenyuk hat auf GitHub Einzelheiten über eine Zero-Day-Lücke in Oracles Virtualisierungssoftware Virtualbox veröffentlicht. Eine Kette von Anfälligkeiten führt demnach dazu, dass bösartiger Code aus dem in einer Virtuellen Maschine ausgeführten Gast-Betriebssystem entkommt und mit erhöhten Berechtigungen auf dem darunterliegenden Host-Betriebssystem ausgeführt wird.

Virtualisierung (Bild: Shutterstock)

Laut Zelenyuk betrifft die Zero-Day-Lücke alle derzeit verfügbaren Releases von Virtualbox, unabhängig vom jeweils eingesetzten Gast- oder Host-Betriebssystem. Der Fehler sei zudem eindeutig in der Standardkonfiguration neu geschaffener VMs zu demonstrieren. „Der Exploit ist 100 Prozent verlässlich“, so der Sicherheitsforscher. Er zeigt den Ablauf außerdem in einem Video mit einer Ubuntu-VM, die in einer Virtualbox auf einem Ubuntu-Gastbetriebssystem läuft.

Keine Gefahr besteht offenbar für Cloud-Hosting-Umgebungen, die sich zwar stark auf Virtuelle Maschinen verlassen, aber einen anderen Hypervisor-Typ als Virtualbox einsetzen. Besonders ärgerlich ist die Lücke aber ausgerechnet für Sicherheitsforscher, die Virtualbox bevorzugt für ihre alltägliche Malware-Analyse und Reverse-Engineering einsetzen.

Sie müssen daher selbst mit einer Infektion ihres primären Betriebssystems rechnen, wenn Malware-Autoren einen entsprechenden Exploit integrieren. Zelenyuk weist jedoch zugleich auf eine relativ einfache Entschärfung des Problems hin. Solange Oracle keinen Patch liefert, empfiehlt er die Abwahl der von Virtualbox standardmäßig eingerichteten virtuellen Netzwerkkarte. Ratsam sei zudem der Wechsel von NAT zu einem anderen Netzwerkmodus.

Die neue Enthüllung folgt einer früheren Entdeckung des Sicherheitsforschers, bei der es ebenfalls um Virtualbox und aus der VM entkommenen Schadcode ging. Obwohl er diese Schwachstelle bereits Mitte 2017 berichtete, benötigte Oracle über 15 Monate zu ihrer Behebung.

Verärgerung über Oracle war offenbar auch Anlass für die Veröffentlichung der neuen Zero-Day-Lücke ohne jede Vorwarnung. „Ich schätze Virtualbox“, schreibt Sergey Zelenyuk und betont, seine vollständige Enthüllung des Sicherheitslochs habe nichts mit der Virtualisierungssoftware selbst zu tun. Ohne Oracle selbst beim Namen zu nennen, führt er jedoch gängige Praktiken rund um gemeldete Sicherheitslücken und Bug-Prämien an, die ihm gründlich missfallen.

[mit Material von Catalin Cimpanu, ZDNet.com]

Themenseiten: Oracle, Security, Sicherheit, Virtualisierung, Zero-Day

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker veröffentlicht Zero-Day-Lücke in Virtualbox

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *