CVE-2024-21111 Oracle VirtualBox 权限提升（本地权限提升）漏洞

安全研究员Naor Hodorov公开了针对Oracle VirtualBox中严重漏洞 ( CVE-2024-21111 )的概念验证 (PoC) 漏洞利用。此漏洞困扰 VirtualBox 7.0.16 之前的版本，并允许对运行 VirtualBox 的 Windows 系统具有基本访问权限的攻击者提升权限。

该漏洞利用了 VirtualBox 管理日志文件方式中的缺陷。攻击者可以欺骗 VirtualBox 滥用其高级系统权限来删除或移动文件。这使攻击者能够操纵关键文件并有可能完全控制受影响的系统。

CVE-2024-21111 允许对主机具有低级别访问权限的攻击者将其权限升级到 NT AUTHORITYSYSTEM，这是 Windows 系统上的最高级别权限。该漏洞利用 VirtualBox 对日志文件的处理，该软件尝试通过附加序号将 C:ProgramDataVirtualBox 中的日志移动到备份位置。然而，由于管理十多个日志的方式存在缺陷，VirtualBox 无意中暴露于符号链接攻击，导致任意文件删除或移动。

风险因素

• 易于利用：该漏洞被认为很容易被利用，从而增加了广泛攻击的风险。

• 针对 Windows：此特定漏洞仅影响运行 VirtualBox 的基于 Windows 的系统。

• 整个系统被入侵：成功利用该漏洞可以使攻击者完全控制受感染的系统。

Oracle 补丁

值得庆幸的是，Oracle 在其最近的重要补丁更新（2024 年 4 月）中解决了该漏洞。该补丁更新特别值得注意，因为它解决了各种 Oracle 产品（而不仅仅是 VirtualBox）的总共 441 个安全漏洞。

在最新的补丁周期中，Oracle Communications 受到了最大的关注，共有 93 个补丁，约占已发布补丁总数的 21%。紧随其后的是 Oracle 融合中间件和 Oracle 金融服务应用程序，分别有 51 个和 49 个补丁。

如果您在 Windows 计算机上使用 Oracle VirtualBox，则必须立即更新到版本 7.0.16 或更高版本。

任意文件删除

任意文件移动

有趣的是，我和@filip_dragovic (Wh04m1001) 各自独立地发现了这个错误：D 向他大声喊叫！

报告时间表

• 2024 年 3 月 19 日 - 向 Oracle 报告漏洞

• 2024 年 3 月 21 日 - Oracle 确认存在漏洞

• 2024 年 4 月 13 日 - Oracle 就公共咨询发出通知

• 2024 年 4 月 16 日 - 关于 Oracle 重要补丁更新的 CVE-2024-21111 公开和公开咨询

项目地址：

https://github.com/mansk1es/CVE-2024-21111