Oracle VirtualBox Elevation of Privilege Vulnerability (CVE-2024-21111): PoC Published
2024/04/22 SecurityOnline — Oracle VirtualBox に存在する、深刻な脆弱性 CVE-2024-21111 の PoC エクスプロイトを、セキュリティ研究者である Naor Hodorov が公開した。この脆弱性は VirtualBox の 7.0.16 未満のバージョンに影響を及ぼし、VirtualBox を実行している Windows システムへの基本的なアクセス権を持つ攻撃者に、特権への昇格を許してしまう。
脆弱性の仕組み
この脆弱性は、VirtualBox がログファイルを管理する方法の欠陥に起因する。VirtualBox を騙した攻撃者は、ファイルを削除/移動するための高レベルのシステム特権を悪用できる。それにより、攻撃者は重要なファイルを操作し、影響を受けるシステムを完全に制御する可能性を持つ。
つまり、脆弱性 CVE-2024-21111 を悪用する、ホストマシン上で低レベルのアクセス権を持つ攻撃者は、Windows システムの最高レベル権限である NT AUTHORITYSYSTEM 特権への昇格が可能になる。この脆弱性は、VirtualBox のログファイルの処理に起因するものであり、”C:¥ProgramData¥VirtualBox” 内のログを、序数を付加してバックアップ位置に移動しようとする。
しかし、10 個以上のログを管理する方法に欠陥があるため、VirtualBox は任意のファイルの削除/移動につながるシンボリックリンク攻撃にさらされる。
- 悪用が容易:この脆弱性は悪用されやすく、広範囲で攻撃が生じるという危険性が高まるり。
- Windows がターゲット: この脆弱性は、VirtualBox を実行している Windows ベースのシステムのみに影響を及ぼす。
- システムの完全な侵害:脆弱性の悪用に成功した攻撃者は、侵害されたシステムを完全に制御できるようになる。
修正方法:Oracle のパッチ
幸いなことに、Oracle は 最近の Critical Patch Update (2024年4月) により、この脆弱性に対処している。このパッチ・アップデートは、VirtualBox だけではなく、各種の Oracle 製品にわたる 441件の脆弱性に対処している。
この最新のパッチで注目されたのは Oracle Communications であり、全体の 21% に相当する、93件のパッチがリリースされた。これに僅差で続くのが、Oracle Fusion Middleware と Oracle Financial Services Applications で、それぞれに対して 51件のパッチと 49件のパッチがリリースされた。
Windows マシンで Oracle VirtualBox を使用している場合は、直ちにバージョン 7.0.16 以降にアップデートすることが必須である。
Oracle VirtualBox の脆弱性 CVE-2024-21111 に対して、PoC エクスプロイトが提供されたとのことです。ただし、2024年4月の定例で対応されているので、パッチを適用すれば大丈夫とのことです。ご利用のチームは、ご確認ください。よろしければ、Oracle で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.