Exploit prikt door sandbox-beveiliging Oracle VirtualBox

software bug

Een onlangs gepubliceerde exploit stelt aanvallers in staat de sandbox van Oracles VirtualBox door te prikken en toegang te krijgen tot bestanden en processen van het onderliggende systeem. Het zero-daylek is gepubliceerd door zelfstandig beveiligingsonderzoeker Sergey Zelenyuk.

Aanleiding voor publicatie is volgens Zelenyuk dat hij het niet eens is met de huidige stand van zaken in infosecurity in het algemeeen, en het beleid van Oracle rond security research en bug bounties in het bijzonder. Hij hekelt het feit dat een half jaar wachten om een kwetsbaarheid te patchen als normaal wordt beschouwd, dat bugjagers stiefmoederlijk worden behandeld en dat er vandaag te veel marketing wordt gedaan rond infosecurity.

Het beveiligingslek maakt beveiligingsonderzoekers ongerust, aangezien VirtualBox een van de populairste VM-toepassingen is voor dagelijkse malware-analyse en reverse engineering. Velen hebben inmiddels dan ook hun zorgen geuit over het feit dat malware-auteurs de exploit in hun malware kunnen insluiten, waardoor die uit de VM kan glippen en het besturingssysteem van de onderzoeker kan besmetten.

De betreffende zero-daybug is overigens al de tweede kwetsbaarheid die Zelenyuk in VirtualBox heeft ontdekt. Hij rapporteerde medio 2017 een vergelijkbaar probleem, waar Oracle meer dan vijftien maanden voor nodig had om te repareren.

De reden dat veel beveiligingsonderzoekers melding maken van bugs, in plaats van deze te gebruiken om systemen aan te vallen, is het nobel doel om de beveiliging van systemen te verbeteren. Echter op momenten dat bedrijven hier doof voor blijven en zich met dreigementen tegen de onderzoeker keren, besluiten de Zelenyuks van deze wereld al sneller om bevindingen (anoniem) te publiceren, zodat reactie niet kan uitblijven.

Oracle Access Manager (OAM)

Afgelopen mei werd er nog een kwetsbaarheid in Oracle Access Manager (OAM) gevonden, die kon worden misbruikt om het account van gebruikers of administrators over te nemen. Iets waardoor de bug de volledige functionaliteit van OAM brak. De kwetsbaarheid werd destijds ontdekt door Wolfgang Ettlinger van het SEC Consult Vulnerability lab. Oracle zou in deze wel snel hebben gereageerd om het probleem op te lossen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home