EN
EN

VirtualBox Sanallaştırma Platformunda Zero-day Açıklığı

09 Kasım 2018


Rus güvenlik araştırmacısı Sergey Zelenyuk, VirtualBox’ta bulduğu bir dizi bug’ın sanal makinenin atlatılması için kullanılabilecek zero-day açıklığına neden olduğunu duyurdu. Yaygın olarak kullanılan sanallaştırma platformu VirtualBox’ta bulunan bu kritik zero-day açıklığının tüm mevcut VirtualBox sürümlerini etkilediği, host işletim sistemi veya konuk işletim sisteminden bağımsız olarak çalıştığı ve default ayarlarla kurulan yeni sanal makinelerde de etkili olduğu belirtiliyor. Bu zafiyetin sanal makineleri altyapı olarak kullanan bulut hosting servisleri için tehlike oluşturmadığı, çoğu bulut servisinin doğrudan sunucu donanımı üzerinde çalışan Type-1 hipervisör kullanmaları buna neden olarak gösteriliyor. VirtualBox ise çalışır durumdaki işletim sistemi üzerinde koşan bir sanal makine olduğu için Type-2 hipervisör olarak tanımlanmaktadır.

Zelenyuk, zafiyetin istismar adımlarını anlatırken zararlı kodun sanal makineyi atlattıktan sonra işletim sisteminin kısıtlı kullanıcı alanında çalıştığını(kernel ring 3), ancak bu aşamadan sonra bilinen çeşitli hak yükseltme teknikleri kullanılarak kernel seviyesi(ring 0) erişime geçilebileceğini vurguluyor. Rus araştırmacı exploit adımlarının bütünü için detaylı bir yazının yanı sıra PoC olarak Ubuntu host üzerinde çalışan VirtualBox üzerine kurulu Ubuntu sanal makinesinde zero-day açıklığının istismarını gösteren video da yayınladı. Video’da konuk işletim sistemi üzerinde çalışan istismar kodunun host işletim sistemi üzerinde bir Shell açtığı görülmektedir. Zelenyuk istismardan korunmak için Virtualbox’ın düzeltilmiş sürümü yayınlanana kadar sanal makinenin network kartınının PCnet veya Paravirtualized Network olarak ayarlanabileceğini belirtiyor. Bunun mümkün olmaması durumunda ise network modun NAT ayarından başka bir ayara çevrilebileceğini ancak birinci yöntemin daha güvenli olduğunu vurguluyor. Zelenyuk exploitin %100 güvenilir olduğunu, yani ya hep başarılı olduğunu ya da hiç çalışmadığını, çalışmamasına neden olarak yanlış eşleştirilen binary dosyaları veya daha ince detayların sayılabileceğini belirtiyor.

Güvenlik araştırmacıları zararlı yazılım analizi ve tersine mühendislik işlemleri için yaygın olarak kullanılan VirtualBox’ın istismarı konusunda endişeli. Araştırmacılar, bu zero-day istismar zincirinin exploit geliştiriciler tarafından zararlı yazılıma gömülmesi durumunda sanal makinenin atlatılarak host işletim sisteminin enfekte edilmesi sağlanarak güvenlik analistlerinin hedef alınabileceği uyarısını yapıyorlar.

Zelenyuk’un daha önce VirtualBox’ı atlatma ile ilgili başka bir zero-day açıklığını 2017’nin ortalarında bildirdiği ancak Oracle’ın açıklığı 15 ay gibi uzun bir sürede düzelttiği belirtiliyor. Bu gecikmeli yama işlemine tepki olarak Rus araştırmacının bu defa açıklığı Oracle’a raporlamak yerine herhangi bir uyarı yapmadan detayları internette paylaşmayı tercih ettiği belirtiliyor.