CVE-2008-3431
Oracle VirtualBox
2022-03-03
An input validation vulnerability exists in the VBoxDrv.sys driver of Sun xVM VirtualBox which allows attackers to locally execute arbitrary code.
Технический анализ и план устранения
Суть уязвимости
Уязвимость в драйвере VBoxDrv.sys (VirtualBox kernel driver) для Windows. Локальный злоумышленник с правами на выполнение кода в гостевой ОС может отправить специально сформированный запрос (IOCTL) к этому драйверу. Из-за недостаточной проверки входных данных (input validation) это приводит к переполнению буфера в ядре, что позволяет выполнить произвольный код с привилегиями SYSTEM на хостовой машине.
Как исправить
Уязвимость устранена в обновленных версиях VirtualBox. Необходимо обновить ПО до одной из следующих или более поздних версий: * VirtualBox 1.6.6 * VirtualBox 2.0.8
Процедура обновления: 1. Скачайте актуальный установщик с официального сайта virtualbox.org. 2. Закройте все запущенные виртуальные машины и сам VirtualBox Manager. 3. Запустите новый установщик. Он автоматически удалит старую версию и установит новую. 4. После установки перезагрузите хост-систему.
Временное решение
Если немедленное обновление невозможно, можно временно ограничить доступ к уязвимому драйверу, отозвав права на его использование у непривилегированных пользователей.
Для Windows: 1. Откройте командную строку с правами администратора. 2. Выполните команду, чтобы запретить группе "Пользователи" (Users) доступ к драйверу VirtualBox. Это предотвратит эксплуатацию уязвимости стандартными пользователями.
sc sdset VBoxDrv "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)"
Важное предупреждение: Это действие приведет к тому, что VirtualBox не сможет запускать виртуальные машины под обычными пользователями. Запуск будет возможен только от имени администратора. Данная мера — исключительно временное решение до момента установки патча.