Oracle Virtualbox’ın Ayrıcalık Yükseltme ve Rastgele Dosya Taşıma/Silme ile ilişkili kritik bir güvenlik açığına sahip olduğu belirlendi ve bildirildi.
Bu güvenlik açığına CVE-2024-21111 atanmıştır ve önem derecesi 7,8 (Yüksek)’tir.
Ancak Oracle rapor üzerine hızlı bir şekilde harekete geçti ve güvenlik açığını buna göre düzeltti. Bunu takiben Oracle, güvenlik açığını gidermek için bir güvenlik danışma belgesi de yayınladı.
Oracle Yakın Zamanda 2024’te Güvenlik Güncellemesini Yayınladı – 372 Güvenlik Açıkları Düzeltildi
Şimdi, güvenlik açığı hakkında ayrıntılı bilgi sağlayan, kamuya açık bir istismar kavram kanıtı yayınlandı.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
PoC İstismarı Yayınlandı
Bu güvenlik açığı, Oracle Virtualbox’ın 7.0.16’dan önceki sürümlerinde mevcuttu; bu güvenlik açığı, bir tehdit aktörünün, rastgele bir dosya silme veya rastgele bir dosya taşıma gerçekleştirecek şekilde Sembolik Bağlantı aracılığıyla ayrıcalıklarını NT AUTHORITY\SYSTEM ayrıcalıklarına yükseltmesine olanak tanıyor.
Bunun nedeni, Oracle Virtualbox’ın her kullanıcının C:\ProgramData\VirtualBox kurulum klasörüne yazmasına izin vermesidir.
Ayrıca Virtualbox, maksimum 10 log içeren yedekleme işlemleri için log dosyalarını NT AUTHORITY\SYSTEM konumundan taşımaya çalışır.
Buna ek olarak, Virtualbox ayrıca NT AUTHORITY\SYSTEM konumundaki 11. günlüğü de silmeye çalışır, bu da ayrıcalık yükseltmeye ulaşmak için kullanılabilecek bu iki hatanın (Dosya Silme ve Dosya Taşıma) ortaya çıkmasına neden olur.
Dosya Silme için paylaşılan kavram kanıtlama videosuna göre araştırmacı, “VBoxEoP_del.exe” adı altında bir EXE dosyası kullanıyor ve bu dosya, C:\ProgramData\ klasörü altında yeni bir günlük dosyası (VBoxSDS.log.11) oluşturmaya çalışıyor. Virtualbox dizini ve günlük dosyasını tekrar silmeye çalışır.
Bu eylem bir MSI dosyasıyla birleştirildi (Config.msi) araştırmacıya NT AUTHORITY\SYSTEM izinlerine sahip yeni bir cmd terminali sağladı.
Senaryo, EXE dosyasının dosyaları C:\ProgramData\Virtualbox dizininden taşımaya çalıştığı Rastgele dosya taşıma senaryosuna da benzer.
Tehdit aktörlerinin bu güvenlik açığından yararlanmasını önlemek için Virtualbox kullanıcılarının en son sürümlere yükseltmeleri önerilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.