¿Quieres recibir una notificación por email cada vez que Mejor Antivirus Es escriba una noticia?
Venom, descrita en el boletín CVE-2015-3456 de seguridad es una vulnerabilidad que reside en el código asociado a la unidad de disquete virtual, empleada en muchos sistemas de virtualización
Venom, descrita en el boletín CVE-2015-3456 de seguridad es una vulnerabilidad que reside en el código asociado a la unidad de disquete virtual, empleada en muchos sistemas de virtualización. Esta vulnerabilidad podría permitir a un atacante escapar del entorno virtualizado de la máquina.
Si un malware o atacante es capaz de escapar del confinamiento de una máquina virtual, será capaz de ejecutar código dañino en nuestro equipo local. Si no se mitiga el error, también estaríamos dando acceso al resto de máquinas virtuales ejecutándose en el equipo, lo que daría al adversario acceso a las redes locales del servidor y sistemas adyacentes.
Gráfico esquemático sobre VenomBug
La explotación de esta vulnerabilidad podría exponer nuestra propiedad intelectual o datos privados a los atacantes. Si tenemos una empresa, esta podría a su vez exponer los datos de otras sociedades y proveedores. en caso de que estos empleen la tecnología de virtualización y recursos compartidos.
VenomBug, ataques a la disquetera
El fallo está localizado en el FDC virtual o Floppy Disk Controller de QEMU -un software para emular procesos de código abierto-. Este código vulnerable es utilizado a día de hoy en muchas plataformas y sectores, destacando entre ellas notably Xen, VirtualBox, KVM y el cliente QEMU nativo.
El software de VMWare y Microsoft Hyper-V no está afectado por VenomBug
Debido a que la vulnerabilidad Venom reside en el código base del Hypervisor, la vulnerabilidad es agnóstica -afecta por igual- al sistema operativo: Linux, Windows, Mac OSX, etc.
Eso sí, a pesar de ser agnóstica respecto al sistema operativo hospedado, la vulnerabilidad requiere que el atacante o el malware en cuestión tengan privilegios de administrador o root adquiridos en el sistema operativo invitado para poder ejecutar Venom.
VenomBug, la vulnerabilidad que ¡afecta a tu disquetera!
¿Se han producido ya ataques basados en VenomBug?
Hasta ahora, ni CrowdStrike (descubridor del suceso) ni sus partners han constatado que se esté sacando partido del fallo de forma indiscriminada.
¿Por qué debemos preocuparnos de un fallo que afecta a la disquetera si es un sistema obsoleto?
Por una sencilla razón: en muchos productos dedicados a la virtualización, una unidad de disquete virtual se añade por defecto a las máquinas virtuales recién creadas.
Este fallo en los hypervisores lleva existiendo desde 2004
En concreto, en los sistemas Xen y QEMU, incluso si el administrador desactiva de forma explícita la unidad de disquete, un problema en el programa provoca que el código FDC vulnerable siga existiendo.
Software Xen en funcionamiento
Detalles del problema
El sistema operativo emulado se comunica con el FDC mediante el envío de comandos como búsqueda, escritura, formateo y similares hacia el puerto de entrada/salida FDC. Se emplea un búfer de tamaño fijo para guardar estos comandos y sus propiedades. El FDC lleva un seguimiento de cuantos datos espera por cada comando y, después de que se reciba la cantidad esperada de datos de una orden, se vacía el búfer en espera del siguiente comando entrante.
Hypervisor: Un hipervisor o monitor de máquina virtual (virtual machine monitor) es una plataforma que permite aplicar diversas técnicas de control de virtualización para utilizar, al mismo tiempo, diferentes sistemas operativos en un mismo equipo.
El restablecimiento del búfer se lleva a cabo inmediatamente tras finalización de los comandos FDC, excepto en dos comandos concretos. Un atacante podría modificar estos comandos, enviándolos con un parámetro concreto al anfitrión que cause un desbordamiento de búfer y, con esos datos fuera de control, ejecutar su código propio en el proceso del hypervisor.
Créditos a Jason Geffner, de CrowdStrike, por el descubrimiento del problema
