近日,安全研究人员发现并公开了Oracle VirtualBox中的一个严重漏洞,编号为CVE-2024-21111。该漏洞允许攻击者通过符号链接跟随实现本地权限提升,执行任意文件删除和移动操作。本文将详细解析该漏洞的工作原理、影响版本以及防护措施。
漏洞简介
Oracle VirtualBox是一款流行的开源虚拟化软件,广泛应用于各类操作系统和开发环境中。然而,研究人员发现其在处理日志文件时存在严重缺陷,导致了本地权限提升的安全风险。
漏洞描述
CVE-2024-21111漏洞源于VirtualBox处理日志文件的方式。当VirtualBox在Windows系统中运行时,会以NT AUTHORITYSYSTEM权限在C:ProgramDataVirtualBox目录中管理日志文件。由于该目录对所有用户可写,攻击者可以利用这一点进行恶意操作。
具体来说,VirtualBox会定期将日志文件按顺序编号备份,最多保存10个日志文件,并删除第11个日志文件。这一过程中,攻击者可以通过创建恶意符号链接,使VirtualBox在删除或移动日志文件时删除或移动任意系统文件,从而提升权限。
漏洞影响版本
以下版本的Oracle VirtualBox受此漏洞影响:
-
Oracle VirtualBox 7.0.16之前的所有版本
漏洞利用
为了更直观地展示该漏洞的危害,研究人员提供了两个利用该漏洞的视频示例:
![揭秘CVE-2024-21111:Oracle VirtualBox 本地权限提升漏洞]( "揭秘CVE-2024-21111:Oracle VirtualBox 本地权限提升漏洞")
-
任意文件删除通过创建恶意符号链接,使VirtualBox在删除第11个日志文件时删除任意文件。
-
任意文件移动通过创建恶意符号链接,使VirtualBox在备份日志文件时移动任意文件。
-
![揭秘CVE-2024-21111:Oracle VirtualBox 本地权限提升漏洞]( "揭秘CVE-2024-21111:Oracle VirtualBox 本地权限提升漏洞")
漏洞发现过程
值得一提的是,该漏洞由两位研究人员分别独立发现并报告。他们是@filip_dragovic(Wh04m1001)和另一位未具名的研究人员。以下是漏洞报告和处理的时间线:
-
-
-
2024年4月13日:Oracle收到公开咨询通知
-
2024年4月16日:CVE-2024-21111公开,并在Oracle关键补丁更新中发布公告
防护措施
-
更新VirtualBox:及时更新Oracle VirtualBox至最新版本(7.0.16或更高版本),确保所有安全补丁已应用。
-
权限管理:限制对C:ProgramDataVirtualBox目录的写权限,仅允许管理员级别的用户进行写操作。
-
日志管理配置:检查并调整VirtualBox的日志管理机制,确保其在删除和移动日志文件时不会被利用进行任意文件操作。
通过这些措施,可以有效降低系统受到攻击的风险,确保虚拟化环境的安全性。
结语
CVE-2024-21111漏洞再次提醒我们,定期更新软件和及时应用安全补丁是保障系统安全的重要手段。同时,合理的权限管理和安全配置也能大大降低潜在的安全风险。希望广大用户引起重视,尽快采取措施,保护自己的系统安全。
原文始发于微信公众号(云梦安全):揭秘CVE-2024-21111:Oracle VirtualBox 本地权限提升漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
28
https://cn-sec.com/archives/2841338.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论