Oracle VirtualBox, eine populäre Virtualisierungssoftware, wurde kürzlich als Ziel einer schwerwiegenden Sicherheitslücke identifiziert, die Angreifern das Erlangen von Systemprivilegien ermöglicht. Diese kritische Schwachstelle, bekannt unter der Kennung CVE-2024-21111 mit einem Schweregrad von 7,8 (hoch), betraf Versionen vor 7.0.16 und ermöglichte es Angreifern, durch Ausnutzung eines symbolischen Links (Symlink) beliebige Dateien zu verschieben oder zu löschen.
Exploit und Patch
Ein öffentlich zugänglicher Proof-of-Concept (PoC) für diese Sicherheitslücke wurde veröffentlicht, der detaillierte Informationen über die Anfälligkeit bietet. Dieser Exploit nutzt die Tatsache aus, dass Oracle VirtualBox jedem Benutzer das Schreiben in den Installationsordner C:\ProgramData\VirtualBox erlaubt. Die Software versucht, Protokolldateien als NT AUTHORITY\SYSTEM für Backup-Aktionen zu verschieben, was zur Ausnutzung der Schwachstelle führt.
Auswirkungen der Schwachstelle
Die PoC-Exploit-Demonstration zeigt, wie eine EXE-Datei namens „VBoxEoP_del.exe“ eine neue Protokolldatei (VBoxSDS.log.11) im Verzeichnis C:\ProgramData\Virtualbox erstellt und anschließend versucht, diese zu löschen. Dieses Vorgehen kombiniert mit einer MSI-Datei (Config.msi) ermöglicht es dem Forscher, ein neues CMD-Terminal mit den Rechten von NT AUTHORITY\SYSTEM zu öffnen.
Ein ähnliches Szenario ergibt sich beim willkürlichen Verschieben von Dateien, bei dem die EXE-Datei versucht, Dateien aus dem Verzeichnis C:\ProgramData\Virtualbox zu verschieben.
Empfehlungen zur Sicherheit
Oracle reagierte schnell auf die Meldung der Sicherheitslücke und hat einen Patch bereitgestellt, der in der neuesten Version enthalten ist. Es wird dringend empfohlen, dass Benutzer von VirtualBox auf die neueste Version aktualisieren, um zu verhindern, dass Bedrohungsakteure diese Schwachstelle ausnutzen. Der Vorfall unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit und regelmäßiger Updates in der digitalen Sicherheitslandschaft.