Обнаружена критическая уязвимость в Xen, KVM и QEMU

В развиваемом проектом QEMU коде эмуляции контроллера флоппи-дисков (FDC) выявлена критическая уязвимость (CVE-2015-3456), получившая кодовое имя VENOM. Кроме QEMU драйвер также используется в системах виртуализации Xen и KVM. Уязвимость позволяет выйти за пределы гостевой системы и получить управления над базовым хост-окружением.

Пользователь гостевой системы, имеющий доступ к портам ввода/вывода (привилегированный пользователь в Linux и любой пользователь в Windows), может отправить эмулятору контроллера FDC специально оформленную команду, которая приведёт к переполнению буфера и выполнению произвольного кода на стороне гостевой системы с правами сопутствующего процесса QEMU. Если данный процесс выполняется с правами root, то пользователь может обойти ограничения виртуализации и из гостевого окружения получить root-доступ к основной системе.

Проблема проявляется во всех гостевых системах на базе архитектуры x86 и x86-64, выполняемых с использованием гипервизора Xen в режиме полной виртуализации (HVM) и в системах на базе QEMU/KVM. Тип эмулируемого оборудования и настройки запуска QEMU не имеют значения, так как в режимах PIIX и ICH9 создаётся мост для шины ISA, в котором в любом случае доступен виртуальный контроллер флоппи-дисков. Также не имеет значение наличие в гостевой системе файла устройства для доступа к флоппи-диску, так как эксплуатация производится через обращение к портам ввода/вывода.

Обновления с устранением уязвимости уже выпущено для RHEL, CentOS, Ubuntu и Debian. Также доступны патчи к QEMU и Xen. Оценить появление обновлений в других дистрибутивах можно на следующих страницах: Fedora, openSUSE, SLES, Slackware, Gentoo, FreeBSD, NetBSD. В качестве обходного пути защиты в RHEL/CentOS предлагается использовать sVirt и seccomp для ограничения привилегий процесса QEMU и ограничение доступа к ресурсам. В Ubuntu в конфигурации по умолчанию при использовании QEMU с libvirt применяется дополнительная изоляция при помощи AppArmor.

Проблема присутствует с 2004 года и вызвана отсутствием проверки переполнения при записи в FIFO-буфер фиксированного размера, используемый в слое эмуляции FDC для хранения команд контроллера и их параметров. Запись в буфер ведётся побайтово, отражая запись данных в порты ввода/вывода, с последующим увеличением индекса, указывающего на текущую позицию в буфере. После выполнения команды индекс сбрасывается в ноль и для следующей команды буфер заполняется заново. Для некоторых команд, таких как FD_CMD_READ_ID и FD_CMD_DRIVE_SPECIFICATION_COMMAND, в определённых ситуациях сброс индекса не производился или производился с задержкой, что даёт возможность полностью заполнить буфер и осуществить запись за его пределы. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шифровальщик GoodWill в качестве выкупа просит помочь нищим и бездомным

Операторы шифровальщика GoodWill не используют его для собственного обогащения; чтобы получить возможность восстановить файлы, жертва должна оказать помощь нуждающимся. По словам экспертов CloudSEK, невыполнение поставленных условий может привести к безвозвратной потере данных, критичных для бизнеса.

Новый вымогатель объявился в интернете два месяца назад. Он построен на основе кода HiddenTear, добавляет к зашифрованным файлам расширение .gdwill и распространяется в основном на территории Индии, Пакистана и некоторых африканских стран, устанавливая местоположение зараженной машины с помощью легитимного сервиса ipinfo.io.

Вредонос шифрует документы Miicrosoft Office, OpenOffice, PDF, текстовые файлы, базы данных, фото, видео и аудиоматериалы, файлы образов, архивы и т. п. В обмен на декриптор GoodWill просит совершить три акта милосердия:

  • подарить новую одежду бездомным;
  • накормить пятерых голодных детей в Domino’s, Pizza Hut или KFC;
  • оплатить медицинскую помощь тем, кто в ней остро нуждается, но не может себе этого позволить.

Жертве также предлагается обнародовать свои добрые дела в Facebook, Instagram и WhatsApp и выслать отчет операторам зловреда в виде скриншотов, фото, видео или аудиозаписей. После проверки полученной информации жертве высылается комплект дешифровки — файл с паролем, сам инструмент и видеоурок по его использованию.

Примечательно, что в качестве контакта вымогатели указали email-адрес с доменом, использующим имя индийского ИБ-провайдера IOTrizin (@itorizin.in). Их творение детектируют многие антивирусы из коллекции VirusTotal (50 из 66 по состоянию на 22 мая).

Правоохранительные органы Индии уже заинтересовались деятельностью непрошеных робингудов и выдвинули предположение, что это небольшая группа хакеров из КНДР. Борцы за социальную справедливость и ранее пытались использовать шифровальщиков с этой целью — достаточно вспомнить Darkside, операторы которого тратили часть выкупа на благотворительность.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru