Un investigador de seguridad no sólo ha descubierto una vulnerabilidad en la herramienta de virtualización VirtualBox, sino que ha publicado detalles de la vulnerabilidad y una guía paso a paso de la vulnerabilidad.
El desarrollador ruso Sergey Zelenyuk encontró una forma de escapar del entorno virtual de VirtualBox y decidió hacer pública la vulnerabilidad debido a su disgusto por el “estado contemporáneo de infosec, especialmente de la investigación de seguridad y la recompensa de los errores”. Después de contarle a Oracle el problema, también se cansó de la “ilusión de grandeza y de las tonterías de marketing” que experimentó en la comunidad de infosec.
Zelenyuk ha publicado todos los detalles del exploit en GitHub, y dice que la vulnerabilidad afecta a VirtualBox 5.2.20 y anteriores. Los únicos requisitos para aprovechar la vulnerabilidad son que la tarjeta de red sea un Intel PRO/1000 MT Desktop (82540EM) y que VirtualBox esté en modo NAT.
Proporciona una reseña detallada de la vulnerabilidad, y también comparte un vídeo que muestra la hazaña y que se describe como “100 por ciento fiable”:
VirtualBox E1000 Guest to Host Escape de Sergey Zelenyuk en Vimeo.Aunque el exploit no es fácil de ejecutar, se proporcionan todos los detalles de cómo hacerlo.Una de las razones para hacer pública esta hazaña en particular es la infelicidad de Zelenyuk con Oracle. Descubrió y reportó otra vulnerabilidad de VirtualBox hace más de un año, pero no se alegró de descubrir que cuando el problema fue finalmente solucionado, no se le atribuyó el haberla encontrado.Puedes leer el artículo completo y muy detallado sobre GitHub.
