logo Хроники кибер-безопасника

Уязвимость CVE-2024-21111. Послевкусие

Этот ‎документ‏ ‎погружает ‎в ‎захватывающий ‎мир ‎CVE-2024-21111,‏ ‎восхитительной ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM ‎VirtualBox,‏ ‎которая ‎просто‏ ‎обожает ‎сеять ‎хаос ‎на‏ ‎хостингах‏ ‎Windows. ‎Мы‏ ‎рассмотрим ‎эту‏ ‎жемчужину ‎со ‎всех ‎возможных ‎сторон,‏ ‎потому‏ ‎что ‎кому‏ ‎не ‎понравится‏ ‎хороший ‎кошмар ‎с ‎точки ‎зрения‏ ‎безопасности?

В‏ ‎этом‏ ‎документе ‎содержится‏ ‎подробное ‎описание‏ ‎уязвимости, ‎предлагающее‏ ‎информацию‏ ‎специалистам ‎по‏ ‎безопасности ‎и ‎другим ‎заинтересованным ‎сторонам,‏ ‎которые ‎просто‏ ‎не‏ ‎могут ‎нарадоваться ‎на‏ ‎подобные ‎проблемы.‏ ‎Этот ‎анализ ‎является ‎обязательным‏ ‎для‏ ‎прочтения ‎всем,‏ ‎кто ‎хочет‏ ‎понять ‎риски, ‎связанные ‎с ‎CVE-2024-21111,‏ ‎и‏ ‎принять ‎меры‏ ‎для ‎предотвращения‏ ‎того, ‎чтобы ‎их ‎системы ‎не‏ ‎стали‏ ‎следующей‏ ‎жертвой. ‎Наслаждайтесь!

-------

документ‏ ‎содержит ‎анализ‏ ‎CVE-2024–2111, ‎уязвимости‏ ‎в‏ ‎Oracle ‎VM‏ ‎VirtualBox, ‎влияющей ‎на ‎хосты ‎Windows.‏ ‎Анализ ‎охватывает‏ ‎различные‏ ‎аспекты ‎уязвимости, ‎включая‏ ‎её ‎технические‏ ‎детали, ‎механизмы ‎использования, ‎потенциальное‏ ‎воздействие‏ ‎на ‎различные‏ ‎отрасли.

Этот ‎документ‏ ‎содержит ‎высококачественное ‎описание ‎уязвимости, ‎предлагая‏ ‎ценную‏ ‎информацию ‎специалистам‏ ‎по ‎безопасности‏ ‎и ‎другим ‎заинтересованным ‎сторонам ‎из‏ ‎различных‏ ‎отраслей.‏ ‎Анализ ‎полезен‏ ‎для ‎понимания‏ ‎рисков, ‎связанных‏ ‎с‏ ‎CVE-2024–2111, ‎и‏ ‎внедрения ‎эффективных ‎мер ‎по ‎защите‏ ‎систем ‎от‏ ‎потенциальных‏ ‎атак.

CVE-2024-2111 ‎— ‎это‏ ‎уязвимость ‎системы‏ ‎безопасности, ‎выявленная ‎в ‎Oracle‏ ‎VM‏ ‎VirtualBox, ‎которая,‏ ‎в ‎частности,‏ ‎затрагивает ‎хосты ‎Windows ‎и ‎присутствует‏ ‎в‏ ‎версиях ‎до‏ ‎версии ‎7.0.16.‏ ‎Это ‎позволяет ‎злоумышленнику ‎с ‎низкими‏ ‎привилегиями,‏ ‎имеющему‏ ‎доступ ‎для‏ ‎входа ‎в‏ ‎систему, ‎к‏ ‎инфраструктуре,‏ ‎где ‎выполняется‏ ‎Oracle ‎VM ‎VirtualBox, ‎потенциально ‎захватить‏ ‎систему

Злоумышленник, ‎использующий‏ ‎эту‏ ‎уязвимость, ‎может ‎получить‏ ‎несанкционированный ‎контроль‏ ‎над ‎уязвимой ‎виртуальной ‎машиной‏ ‎Oracle‏ ‎VirtualBox. ‎Конкретный‏ ‎технический ‎механизм‏ ‎включает ‎локальное ‎повышение ‎привилегий ‎посредством‏ ‎перехода‏ ‎по ‎символической‏ ‎ссылке, ‎что‏ ‎может ‎привести ‎к ‎произвольному ‎удалению‏ ‎и‏ ‎перемещению‏ ‎файла.

📌 Тип ‎уязвимости:‏ ‎локальное ‎повышение‏ ‎привилегий ‎(LPE)‏ ‎позволяет‏ ‎злоумышленнику ‎с‏ ‎низкими ‎привилегиями, ‎у ‎которого ‎уже‏ ‎есть ‎доступ‏ ‎к‏ ‎системе, ‎получить ‎более‏ ‎высокие ‎привилегии.

📌 Вектор‏ ‎атаки ‎и ‎сложность: Вектор ‎CVSS‏ ‎3.1‏ ‎для ‎этой‏ ‎уязвимости ‎равен‏ ‎(CVSS: ‎3.1/AV: ‎L/AC: ‎L/PR: ‎L/‏ ‎UI:‏ ‎N/ ‎S:‏ ‎U/C: ‎H/I:‏ ‎H ‎/A: ‎H). ‎Это ‎указывает‏ ‎на‏ ‎то,‏ ‎что ‎вектор‏ ‎атаки ‎локальный‏ ‎(AV: ‎L),‏ ‎что‏ ‎означает, ‎что‏ ‎злоумышленнику ‎необходим ‎локальный ‎доступ ‎к‏ ‎хосту. ‎Сложность‏ ‎атаки‏ ‎низкая ‎(AC: ‎L),‏ ‎и ‎никакого‏ ‎взаимодействия ‎с ‎пользователем ‎(UI:‏ ‎N)‏ ‎не ‎требуется.‏ ‎Требуемые ‎привилегии‏ ‎невелики ‎(PR: ‎L), ‎что ‎предполагает,‏ ‎что‏ ‎базовые ‎привилегии‏ ‎позволяют ‎воспользоваться‏ ‎этой ‎уязвимостью.

📌 Воздействие: ‎Все ‎показатели ‎воздействия‏ ‎на‏ ‎конфиденциальность,‏ ‎целостность ‎и‏ ‎доступность ‎оцениваются‏ ‎как ‎высокие‏ ‎(C:‏ ‎H/I: ‎H/A:‏ ‎H), ‎что ‎указывает ‎на ‎то,‏ ‎что ‎эксплойт‏ ‎может‏ ‎привести ‎к ‎полному‏ ‎нарушению ‎конфиденциальности,‏ ‎целостности ‎и ‎доступности ‎уязвимой‏ ‎системы.

📌 Способ‏ ‎эксплуатации: Уязвимость ‎реализуется‏ ‎атакой ‎с‏ ‎символическими ‎ссылкам ‎(symlink). ‎Это ‎включает‏ ‎в‏ ‎себя ‎манипулирование‏ ‎ссылками ‎для‏ ‎перенаправления ‎операций, ‎предназначенных ‎для ‎легитимных‏ ‎файлов‏ ‎или‏ ‎каталогов, ‎на‏ ‎другие ‎подконтрольные‏ ‎цели, ‎приводя‏ ‎к‏ ‎произвольному ‎удалению‏ ‎или ‎перемещению ‎файла, ‎и ‎позволяя‏ ‎выполнять ‎произвольный‏ ‎код‏ ‎с ‎привилегиями.

📌 Конкретный ‎механизм: Уязвимость‏ ‎конкретно ‎связана‏ ‎с ‎манипуляциями ‎с ‎файлами‏ ‎журналов‏ ‎системной ‎службой‏ ‎VirtualBox ‎(VboxSDS).‏ ‎Служба, ‎работающая ‎с ‎системными ‎привилегиями,‏ ‎управляет‏ ‎файлами ‎журнала‏ ‎в ‎каталоге,‏ ‎не ‎имеющими ‎строгого ‎контроля ‎доступа,‏ ‎что‏ ‎потенциально‏ ‎приводит ‎к‏ ‎повышению ‎привилегий.‏ ‎Служба ‎выполняет‏ ‎операции‏ ‎переименования ‎/‏ ‎перемещения ‎файлов ‎рекурсивно, ‎что ‎позволяет‏ ‎этим ‎злоупотреблять.

📌 Меры‏ ‎по‏ ‎устранению ‎этой ‎уязвимости: Пользователям‏ ‎рекомендуется ‎обновить‏ ‎свои ‎установки ‎Oracle ‎VM‏ ‎VirtualBox‏ ‎до ‎версии‏ ‎7.0.16 ‎или‏ ‎более ‎поздней, ‎которая ‎содержит ‎необходимые‏ ‎исправления‏ ‎для ‎устранения‏ ‎этой ‎уязвимости




Предыдущий Следующий
Все посты проекта

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048