PoC publicado para vulnerabilidad presente en Oracle VirtualBox

El investigador de seguridad Naor Hodorov ha hecho público un exploit de prueba de concepto (PoC) para una vulnerabilidad de alta severidad, identificada como CVE-2024-21111, que afecta a Oracle VirtualBox.

  • CVE-2024-21111 (CVSS 7.8): Esta vulnerabilidad aprovecha un error en la manera que VirtualBox gestiona los archivos de registro. Los atacantes pueden engañar a VirtualBox para que haga un mal uso de sus privilegios de sistema de alto nivel para eliminar o mover archivos. Esto otorga a los atacantes la capacidad de manipular archivos críticos e incluso podrían llegar a tomar el control completo del sistema afectado.

Esta vulnerabilidad permite a un atacante con acceso de bajo nivel a la máquina host escalar sus privilegios a NT AUTHORITY\SYSTEM, el nivel más alto de permisos en sistemas Windows. El exploit aprovecha la gestión de archivos de registro de VirtualBox, donde el software intenta mover registros en C:\ProgramData\VirtualBox a posiciones de respaldo. Sin embargo, debido a un error en cómo se manejan más de diez registros, VirtualBox expone inadvertidamente a ataques de enlaces simbólicos que conducen a la eliminación o movimiento arbitrario de archivos.

La vulnerabilidad se considera fácil de explotar, lo que aumenta el riesgo de ataques generalizados. Este exploit específico afecta sólo a los sistemas basados ​​en Windows que ejecutan VirtualBox.

Versiones afectadas:

  • Todas las versiones de Oracle VirtualBox anteriores a la 7.0.16.

Solución:

  • Los usuarios que utilicen Oracle VirtualBox en una máquina Windows deben actualizar a la versión 7.0.16 o posterior.

Recomendaciones:

  • Aplicar las actualizaciones de seguridad disponibles tan pronto como sea posible para mitigar los riesgos potenciales.
  • Permanecer al tanto de las actualizaciones de seguridad adicionales y las comunicaciones relacionadas con VirtualBox para mantener su software actualizado y protegido.

Referencias: