揭秘CVE-2024-21111：Oracle VirtualBox 本地权限提升漏洞

近日，安全研究人员发现并公开了Oracle VirtualBox中的一个严重漏洞，编号为CVE-2024-21111。该漏洞允许攻击者通过符号链接跟随实现本地权限提升，执行任意文件删除和移动操作。本文将详细解析该漏洞的工作原理、影响版本以及防护措施。

Oracle VirtualBox是一款流行的开源虚拟化软件，广泛应用于各类操作系统和开发环境中。然而，研究人员发现其在处理日志文件时存在严重缺陷，导致了本地权限提升的安全风险。

CVE-2024-21111漏洞源于VirtualBox处理日志文件的方式。当VirtualBox在Windows系统中运行时，会以NT AUTHORITYSYSTEM权限在C:ProgramDataVirtualBox目录中管理日志文件。由于该目录对所有用户可写，攻击者可以利用这一点进行恶意操作。

具体来说，VirtualBox会定期将日志文件按顺序编号备份，最多保存10个日志文件，并删除第11个日志文件。这一过程中，攻击者可以通过创建恶意符号链接，使VirtualBox在删除或移动日志文件时删除或移动任意系统文件，从而提升权限。

以下版本的Oracle VirtualBox受此漏洞影响：

• Oracle VirtualBox 7.0.16之前的所有版本

为了更直观地展示该漏洞的危害，研究人员提供了两个利用该漏洞的视频示例：

1. 任意文件删除通过创建恶意符号链接，使VirtualBox在删除第11个日志文件时删除任意文件。
2. 任意文件移动通过创建恶意符号链接，使VirtualBox在备份日志文件时移动任意文件。

值得一提的是，该漏洞由两位研究人员分别独立发现并报告。他们是@filip_dragovic（Wh04m1001）和另一位未具名的研究人员。以下是漏洞报告和处理的时间线：

• 2024年3月19日：漏洞报告给Oracle
• 2024年3月21日：Oracle确认漏洞
• 2024年4月13日：Oracle收到公开咨询通知
• 2024年4月16日：CVE-2024-21111公开，并在Oracle关键补丁更新中发布公告

为了防止该漏洞被利用，建议采取以下措施：

1. 更新VirtualBox：及时更新Oracle VirtualBox至最新版本（7.0.16或更高版本），确保所有安全补丁已应用。
2. 权限管理：限制对C:ProgramDataVirtualBox目录的写权限，仅允许管理员级别的用户进行写操作。
3. 日志管理配置：检查并调整VirtualBox的日志管理机制，确保其在删除和移动日志文件时不会被利用进行任意文件操作。

通过这些措施，可以有效降低系统受到攻击的风险，确保虚拟化环境的安全性。

CVE-2024-21111漏洞再次提醒我们，定期更新软件和及时应用安全补丁是保障系统安全的重要手段。同时，合理的权限管理和安全配置也能大大降低潜在的安全风险。希望广大用户引起重视，尽快采取措施，保护自己的系统安全。

原文始发于微信公众号（云梦安全）：揭秘CVE-2024-21111：Oracle VirtualBox 本地权限提升漏洞