Wyskoczenie z VirtualBox do głównej maszyny – zdenerwował się i opublikował 0-day

07 listopada 2018, 19:11 | W biegu | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Według autora, podatne są wszystkie wersje VirtualBoksa – aż do 5.2.20 (obecnie jest to najnowsza wersja).

Podatny jest dowolny host OS i dowolny guest OS. Wystarczy mieć zupełnie domyślne ustawienia VirtualBoksa, oraz użyć standardowej karty sieciowej:  Intel PRO/1000 MT Desktop (82540EM) – w chyba najczęściej wykorzystywanym trybie – NAT.

VBOX

Dzięki eksploitowi – mając dostęp do roota na maszynie wirtualnej – możemy wykonywać polecenia w systemie operacyjnym na maszynie głównej.

Autor zdecydował się na publikację wszystkich szczegółów, będąc nieco zdenerwowanym na producentów oprogramowania:

The reason is my disagreement with contemporary state of infosec, especially of security research and bug bounty:

  1. Wait half a year until a vulnerability is patched is considered fine.
  2. In the bug bounty field these are considered fine:
    1. Wait more than month until a submitted vulnerability is verified and a decision to buy or not to buy is made.
    2. Change the decision on the fly. Today you figured out the bug bounty program will buy bugs in a software, week later you come with bugs and exploits and receive „not interested”.
    3. Have not a precise list of software a bug bounty is interested to buy bugs in. Handy for bug bounties, awkward for researchers.
    4. Have not precise lower and upper bounds of vulnerability prices. There are many things influencing a price but researchers need to know what is worth to work on and what is not.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jacek

    Rozwydrzone dzieci klasy średniej zaczęły w ramach akcji zwróć na mnie uwagę wypuszczać 0-daye na twitterach.
    Żenua

    Odpowiedz
    • Wujek Pawel

      Jacusiu, nic nie stoi na przeszkodzie abys zamiast isc do pracy szukal bledow tego typu i nie dostawal za nie pieniadzy, albo dostal jakies grosze od korporacji wartej miliardy.

      Odpowiedz
    • Tak

      Czy gdyby te dzieci były z innej klasy coś by to zmieniło? Albo gdyby nie były rozwydrzone? Widzę konkretny ból dupy że Ty przedstawiciel wyższej klasy niższej nie jesteś w stanie znaleźć ani jednego 0-daya :)

      Odpowiedz
    • wk

      @Jacek

      Wiesz, z punktu widzenia admina to ja raczej bym wolał, żeby deweloperzy takich rzeczy jak VirtualBox zwracali uwagę na zgłoszenia dużych luk.

      Odpowiedz
  2. Mirek

    Zapewne znalazł błąd w kodzie którego nikt nie zna.
    A firma zamiast potraktować to serio to zaczęła bezpiecznie estymowac w miesiącach ;) i tak wyszło. Pewnie wliczyli w to czas szukania na rynku osoby, szkolenie korporacyjne itp..
    Typowe Job Security

    Odpowiedz

Odpowiedz