bug virtualbox
Produits et Services PRODUITS & SERVICES

Bug VirtualBox : un chercheur énervé a divulgué une faille zero-day, et ce sans avertissement !

Un chercheur en sécurité a divulgué une faille "zéro-day" dans un système de gestion de machine virtuelle communément utilisé sans en avertir l’éditeur, et justifie son acte par des critiques cinglantes visant le secteur de la cybersécurité.

Sergey Zelenyuk, basé à Saint-Pétersbourg, a divulgué cette semaine le bug affectant le logiciel Oracle VirtualBox sur GitHub.

Nous faisons référence au bug VirtualBox ici parce que Zelenyuk a fourni une solution de contournement et que de potentiels cybercriminels auront une longueur d’avance s’ils le voient et que vous ne le voyez pas. La vulnérabilité réside dans la façon dont les machines virtuelles VirtualBox traitent, par défaut, les communications réseau. La carte réseau virtuelle permet à un attaquant doté de privilèges administratifs d’accéder au système d’exploitation hôte.

Pour exploiter cette faille, un attaquant désactive d’abord la carte réseau virtuelle E1000 dans le système d’exploitation invité. Il charge ensuite son propre module de noyau Linux (LKM), un élément de code qui étend les fonctionnalités de Linux sans avoir à redémarrer le système. Ce LKM, qui contient le code d’exploit, démarre sa propre carte réseau virtuelle E1000. Le LKM exploite ensuite une vulnérabilité de débordement de la mémoire tampon au niveau de la carte réseau virtuelle, lui permettant ainsi d’avoir accès au système hôte. Après cela, l’attaquant peut décharger le LKM et redémarrer la carte réseau virtuelle E1000 d’origine afin de pouvoir utiliser le réseau à nouveau.

Il existe quelques mises en garde concernant cette attaque. La première est que l’attaquant doit disposer de privilèges (administratifs) au niveau du système d’exploitation invité. Comme le souligne Zelenyuk, cependant, cette contrainte est contournable, car d’autres exploits peuvent augmenter les privilèges de l’utilisateur.

L’autre inconvénient est que l’attaque ne donne au pirate qu’un accès à ce que l’on appelle habituellement le “userland” sur l’ordinateur hôte, à savoir un accès au système d’exploitation hôte lui-même.

Néanmoins, la possibilité de quitter une machine virtuelle pour aller vers l’ordinateur hôte responsable de la machine virtuelle a de graves conséquences, en particulier si l’hôte exécute des machines virtuelles pour le compte de plusieurs utilisateurs différents.

Le bug VirtualBox est remarquable en soi, mais l’approche de Zelenyuk est tout aussi intéressante. Bien qu’il n’ait pas publié de véritable preuve-de-concept exécutable, il a fourni des détails plus précis sur cet exploit sans en informer préalablement Oracle, une approche de type “révélation publique” appelée aussi “divulgation complète”.

De nos jours, la divulgation complète est largement mal vue par les cercles de cybersécurité. De nombreux chercheurs ont adopté une approche plus douce appelée divulgation responsable, en informant d’abord l’éditeur et en lui laissant le temps de publier un correctif.

Le chercheur a déclaré :

J’aime VirtualBox et cela n’a rien à voir avec la raison pour laquelle j’ai publié une vulnérabilité zero-day. La véritable raison est davantage mon désaccord avec la philosophie actuelle de la cybersécurité, et en particulier l’état de la recherche sur la sécurité et les programmes bug bounty :

  1. Attendre six mois qu’une vulnérabilité soit corrigée est considérée comme convenable.

Point N°2, il affirme que les programmes bug bounty mettent trop de temps à vérifier les vulnérabilités, changent d’avis, et ne fournissent pas assez d’informations sur les types de vulnérabilités qui les intéressent réellement ou sur le montant qu’ils sont disposés à payer.

Enfin, il poursuit avec une diatribe hyperbolique sur ce secteur en général :

Mégalomanie et verbiage marketing : nommer les vulnérabilités et créer des sites web dédiés; faire mille conférences en un an; exagérer l’importance de son propre travail en tant qu’expert cybersécurité; se considérer comme “un sauveur du monde”. Calmez vous un peu s’il vous plait Votre Altesse !

Nous avons approché Oracle, qui n’a pas voulu commenter, mais qui nous a plutôt orientés vers sa politique de divulgation, qui indique que pour qu’un chercheur soit crédité, “il doit suivre des pratiques de divulgation responsable”. L’une d’entre elles stipule :

Ils ne doivent pas publier une vulnérabilité avant qu’Oracle n’ait sorti un correctif.


Billet inspiré de Ranting researcher publishes VM-busting zero-day without warning, sur Sophos nakedsecurity.