Баг Vagrant позволяет получить доступ ко всей файловой системе хоста

Баг Vagrant позволяет получить доступ ко всей файловой системе хоста

Во время экспериментов с VirtualBox эксперт наткнулся на серьезную уязвимость. Оказалось, что при запуске непривилегированной программы внутри Vagrant box (файл с полностью настроенной и готовой к использованию виртуальной средой), можно получить доступ на чтение и запись ко всей файловой системе.

Проблема кроется не в VirtualBox, а в неправильной конфигурации Vagrant. Исследователь также отметил, что это известный баг. Если вы используете ненадежный код внутри Vagrant box, вы должны явно указать переменную VAGRANT_DISABLE_VBOXSYMLINKCREATE, например, добавив:

export VAGRANT_DISABLE_VBOXSYMLINKCREATE=1

В файл .profile/.zprofile.

Vagrant по умолчанию устанавливает флаг SharedFoldersEnableSymlinksCreate для каждой синхронизированной папки, которую он создает. Причем vagrant share включена в каждом Vagrant box по умолчанию, если явно не указано обратное:

config.vm.synced_folder ".", "vagrant", disabled: true

«В документации могли бы более четко прописать последствия активации этого флага. Похоже, разработчики Vagrant полагают, что все боксы являются безоговорочно доверенными, однако это противоречит моим понятиям о безопасности. От Vagrant я ожидаю те же гарантии безопасности, которые предоставляет VirtualBox», — пишет специалист.

Общие папки в VirtualBox реализованы как служба HGCM (Host-Guest Communication Manager). HGCM включает довольно простой протокол RPC, через который гость может совершать вызовы функций, благодаря этому механизму реализовано несколько других фичей VirtualBox, завязанных на взаимодействии с гостем: совместное использование буфера обмена, Drag-and-drop и 3D-ускорение.

Чтобы инициировать вызов HGCM, например, читать или записывать файл внутри общей папки, запрос должен быть отправлен на специальное устройство VMM (Virtual Machine Monitor), доступное для каждой виртуальной машины через PCI. Для этого обычно требуются привилегии ядра.

Тем не менее, если установлены дополнения VirtualBox для гостя, запросы могут быть сделаны с помощью драйвера VBoxGuest, который открыт для доступа извне (т.е. непривилегированных процессов). Поскольку синхронизированные папки Vagrant используют возможности общих папок, боксы Vagrant обычно поставляются с уже добавленными дополнениями.

Эта уязвимость получила идентификатор CVE-2018-2693, «повышение привилегий».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft рассказала о российской APT-группе, атакующей страны НАТО

Специалисты Microsoft Threat Intelligence Center (MSTIC) заявили, что им удалось остановить кибероперацию хорошо подготовленной группировки, атаковавшей страны НАТО. По словам экспертов, группа, проходящая под именем SEABORGIUM, имеет российские корни.

APT-группу SEABORGIUM также называют ColdRiver (классификация Google) и TA446 (Proofpoint). Исследователи считают, что участники группировки связаны с властями России и действуют в интересах нашей страны.

«SEABORGIUM чаще всего затачивает свои кампании под атаки на оборонку и консалтинговые организации. Также в зону поражения входят неправительственные организации, аналитические центры и сфера образования», — описывает Microsoft в отчёте.

Участники SEABORGIUM активно используют методы социальной инженерии, создавая фейковые онлайн-личности. С целевыми пользователями или организациями связываются через электронную почту, соцсети и LinkedIn.

Киберпреступники выстраивают определённый диалог с предполагаемой жертвой, чтобы сформировать её профиль. После этого у них появляется возможность отправить фишинговое вложение с расчётом на то, что они уже вошли в доверие.

Как выяснили в Microsoft, злоумышленники используются документы в формате PDF, ссылки на файловые хранилища и аккаунты OneDrive. Пример письма на скриншоте ниже:

 

При открытии такой документ отображает жертве сообщение о невозможности отображения информации и предлагает нажать на кнопку «Попробовать снова».

 

Кнопка ведёт на одну из фишинговых страниц, где размещается фреймворк вроде EvilGinx. Пользователь видит форму для ввода логина и пароля. Злоумышленники при этом могут не только перехватить вводимые учётные данные, но и украсть cookies или токены аутентификации.

В Microsoft отметили, что специалистам удалось остановить операции SEABORGIUM — отключить аккаунты, которые те использовали для слежки и фишинга. Помимо этого, корпорация также поделилась списком из 69 доменов, связанных с деятельностью киберпреступной группировки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru