BT

Disseminando conhecimento e inovação em desenvolvimento de software corporativo.

Contribuir

Tópicos

Escolha a região

Início Notícias Vulnerabilidade VENOM ameaça diversos virtualizadores

Vulnerabilidade VENOM ameaça diversos virtualizadores

Favoritos

Jason Geffner da CrowdStrike descobriu uma vulnerabilidade de segurança que afeta diversas plataformas de máquinas virtuais, incluindo Xen, KVM, VirtualBox e QEMU. Tomando vantagem sobre um bug presente no código do Controlador de Disquetes, que existe desde 2004, esta falha pode permitir que "...usuários mal-intencionados saiam dos limites da máquina virtual (VM) afetada e potencialmente obtenham permissão de execução de códigos no host". Esta falha é independente do sistema operacional, o que significa que afeta todas as plataformas executando o software da VM, incluindo, mas não se limitado ao Linux, Windows e Max OS X.

Uma vez que o usuário mal-intencionado chegou ao host, ele pode atacar a máquina virtual ou as demais VMs hospedadas na máquina infectada. O website do VENOM (Virtualized Environment Neglected Operations Manipulation) criado pela CrowdStrike ilustra como a falha pode afetar um sistema. O VENOM foi classificado como CVE-215-3456 pelo Banco de Dados de Vulnerabilidades Nacional dos Estados Unidos (US National Vulnerability Database). De acordo com o relatório, os seguintes hypervisors NÃO são afetados: VMware, Microsoft Hyper-V e Bochs.

Para que o usuário mal-intencionado possa obter benefício do VENOM, ele precisará ter privilégios administrativos (root) no sistema operacional virtualizado. Até o momento, nenhum exploit utilizando-se do VENOM foi encontrado, mas isso não quer dizer que ele não exista. O website do VENOM descreve a vulnerabilidade como:

"O sistema operacional virtualizado (guest) se comunica com o FDC (floppy disk controller - controlador de disquete) enviando comandos como seek (procurar), read (ler), write (gravar), format (formatar), entre outros, para a porta de entrada e saída do FDC. O FDC virtual do QEMU usa um tamanho fixo de buffer para armazenar estes comandos e seus parâmetros de dados associados. O FDC mantém o controle da quantidade de dados que deve esperar para cada comando e, depois que todos os dados esperados de um comando são recebidos da máquina virtual, o FDC executa o comando e limpa o buffer para o próximo comando.

Esse processo de reset do buffer é executado imediatamente após o processamento de todos os comandos do FDC, exceto dois. Um usuário mal-intencionado pode enviar estes comandos (e especialmente parâmetros de dados especiais) através da máquina virtual para o FDC a fim de estourar o buffer de dados (buffer overflow) e executar códigos arbitrários no processo do hypervisor do host."

Os administradores são alertados que, só porque não usam ativamente a unidade virtual de disquete, que estão imunes ao ataque. Drives de disquete virtual são adicionados automaticamente às novas máquinas virtuais, e "um bug não-relacionado faz com que a vulnerabilidade FDC continue ativa e explorável por usuários mal-intencionados".

Avalie esse artigo

Relevância
Estilo/Redação

Conteúdo educacional

BT