Pubblicato su Internet un exploit Zero-Day per VirtualBox

Nov 08, 2018 Marco Schiaffino Emergenze, In evidenza, News, RSS, Vulnerabilità 0

La vulnerabilità è stata individuata da un ricercatore russo, che ha pubblicato su GitHub un tutorial con tutti i passaggi per sfruttarla.

Quando si parla di virtualizzazione si parla di cloud e, di conseguenza, dei servizi erogati da milioni di aziende sulle infrastrutture virtuali. Se poi l’altra parola è VirtualBox, cioè una delle piattaforme storiche di virtualizzazione, la soglia di allarme si alza ulteriormente.

Ecco perché la comparsa di un exploit Zero-Day che interessa il software di virtualizzazione è una di quelle notizie che può gettare nel panico l’intera community degli amministratori IT del settore enterprise.

Se poi i dettagli dell’exploit vengono resi pubblici con tanto di una sorta di guida per il suo utilizzo, il campanello di allarme diventa di quelli assordanti.

A sganciare questa vera “bomba” nel settore della sicurezza è stato un utente GitHub ce si firma con il nome di MorteNoir1, che ha accompagnato la “irresponsible disclosure” con un video in cui compare Sergey Zelenyuk un ricercatore russo specializzato in sviluppo di exploit. È probabile (c’è chi lo dà per scontato) che l’account sia proprio quello di Zelenyuk.

Il bug individuato dal ricercatore sfrutta una configurazione predefinita del Intel PRO/1000 MT Desktop (82540EM) e permetterebbe all’amministratore di un sistema guest (quindi a un pirata informatico basterebbe acquistare l’hosting sul server virtuale – ndr) di accedere al sistema host a livello ring3.

A questo punto, spiega Zelenyuk, il pirata può elevare i suoi privilegi fino a livello ring0, assumendo i pratica il controllo del computer host.

Il ricercatore russo, però, va ben oltre alla semplice segnalazione e descrive, passo per passo, i comandi che servono per mettere a segno l’attacco. Zelenyuk, per la verità, suggerisce anche un metodo per mitigare il rischio in attesa della patch di VIrtualBox: cambiare le impostazioni della macchina virtuale passando a PCnet o a Paravirtualized Network.

Ma come mai questa decisione di pubblicare tutti i dettagli senza aspettare che l’aggiornamento che risolve il bug sia disponibile?

Nel suo post, Zelenyuk si scaglia contro le pratiche di bug bounty, denigrando i tempi infiniti per il rilascio di aggiornamenti, la mancanza di certezze sulle ricompense per chi segnala i bug, la nuova “moda” di assegnare nomi accattivanti alle vulnerabilità e la speculazione che ne segue con “migliaia di conferenze in un anno” e la tendenza a esagerare nel “dare importanza al proprio lavoro di ricercatori”.

Insomma, una sorta di “j’accuse” a tutto il mondo della sicurezza che, secondo l’autore, giustificherebbe la sua decisione di pubblicare la vulnerabilità senza seguire i consueti canali.

Al di là delle polemiche, resta una situazione che mette a rischio migliaia di server cloud che ospitano servizi utilizzati da milioni di utenti e che, da oggi, sono a rischio attacco da chiunque sia in grado di seguire le istruzioni di Zelenyuk.

Condividi l'articolo