VirtualBox遭爆3D加速功能存在任意读写漏洞,,骇客通过结合编号CV

原标题：VirtualBox遭爆3D加速功能存在任意读写漏洞

甲骨文VirtualBox被爆易受特权提升攻击，并存在任意读写漏洞，即便使用者仅允许程式以使用者权限执行，但通过特权提升，恶意程式仍然能够存取VBoxDrv核心驱动程式。骇客通过结合编号CVE-2018-3055的资讯泄漏漏洞以及...

甲骨文VirtualBox被爆易受特权提升攻击，并存在任意读写漏洞，即便使用者仅允许程式以使用者权限执行，但通过特权提升，恶意程式仍然能够存取VBoxDrv核心驱动程式。骇客通过结合编号CVE-2018-3055的资讯泄漏漏洞以及CVE-2018-3085的绝对任意写入漏洞，就能以访客身份使用3D加速功能完全入侵VirtualBox。这两个漏洞都已经在7月的VirtualBox版本5.2.16中被修补。

资安团队Phoenhex提到，虽然VirtualBox官方文件建议，不应该允许不受信任的访客系统使用VirtualBox的3D加速功能，就像是不应该允许不受信任的应用程序，在一般主机上使用3D加速功能一样。由于3D硬件的驱动程式过于复杂，难以确保完全安全无虞，任何存取3D功能的应用程序，都可能危害执行这些工作的作业系统，而且提供访客直接存取VirtualBox主机程式中的大量附加程式码，便可能被利用来使虚拟机器崩溃。

Phoenhex解释，这个官方文件说明只讲了事实的一半，在设计上，VirtualBox虚拟机器程式可以存取VBoxDrv核心驱动程式，所以即使以访客权限启动虚拟机器，仍可以通过本地端特权提升来进行攻击。

VirtualBox的3D加速功能在程式码基础中称为共享的OpenGL，用于分散式OpenGL渲染的Chromium函式库，这个与开源浏览器同名但没有关系的函式库，定义了描述OpenGL操作的网络协议，可用来传递OpenGL实作。而VirtualBox负责维护Chromium的一个分支，以及主机访客通讯管理器管道通讯协议（Host-Guest△Communication△Manager，HGCM）。

HGCM是一个简单的主机到访客端的RPC协议，访客端一旦连接上HGCM服务，就能使用整数与缓冲区参数来进行远端呼叫，并在主机处理这些工作。但是值得注意的是，HGCM介面曝露给非特权程式以访客附加驱动程式存取，而没有安装访客附加驱动程式，骇客则需要有Root权限才能安装访客虚拟机器驱动程式以曝露装置，以便于攻击共享的OpenGL。

这个攻击基于Chromium一个奇怪的讯息设计，能让骇客回写控制的资料，再综合应用两个漏洞，第一个编号CVE-2018-3055的资讯外泄漏洞，这个允许骇客可以在讯息缓冲区中，以任意偏移量泄漏资讯。第二个则是编号为CVE-2018-3085的绝对任意写入漏洞，在某些条件下，来自访客端的讯息将会被直接放入佇列中，或是在处理前就被释放，导致讯息永远不会被处理。结合这两个漏洞，可以让骇客实作出任意读写的攻击基本功能。

橙山网（Csnd.net）简评：骇客通过结合编号CVE-2018-3055的资讯泄漏漏洞以及...甲骨文VirtualBox被爆易受特权提升攻击，并存在任意读写漏洞，即便使用者仅允许程式以使用者权限执行，但通过特权提升，恶意程式仍然