O pesquisador russo Sergey Zelenyuk descobriu uma vulnerabilidade zero-day que afeta a versão 5.2.20 do VirtualBox, bem como versões anteriores, permitindo que um cibercriminoso possa escapar da máquina virtual (sistema operacional convidado) e alcançar a camada de privilégio Ring 3, de modo que seja possível fazer uso de técnicas existentes para escalar privilégios e chegar ao sistema operacional hospedeiro (kernel ou ring 0).

Além de publicar os detalhes de sua descoberta, Zelenyuk postou um vídeo de uma prova de conceito que mostra a ação da vulnerabilidade a partir de uma máquina virtual com Ubuntu no VirtualBox, que também usa o Ubuntu como sistema operacional hospedeiro.

Além disso, Zelenyuk diz que o exploit é completamente confiável ​​e que, embora ele tenha realizado testes apenas na versão 16.04 do Ubuntu 18.4, o pesquisador acredita que o exploit certamente também irá funcionar no Windows.

Embora não seja fácil de executar o exploit relatado por Zelenyuk, o pesquisador decidiu divulgar todos os detalhes.

De acordo com um comentário que o pesquisador publicou no GitHub, ele explica que decidiu divulgar essa vulnerabilidade por discordar com o estado atual da gestão no campo da segurança. A respeito disso, o pesquisador expressa descontentamento sobre o tempo que leva para que os patches sejam liberados e sobre os critérios estabelecidos para os programas de Bug Bounty, já que o que é considerado "interessante" costumam mudar de um dia para o outro. Ele também garante que as empresas demoram mais de um mês desde que uma vulnerabilidade é relatada até que a verifiquem e decidam se a compram ou não, e não se estabelece claramente quais são os critérios utilizados para definir o valor das recompensas.

Conforme publicado pelo ZDNet, Zelenyuk já havia relatado ao Oracle uma vulnerabilidade zero-day que também afetou o VirtualBox em 2017, que a Oracle levou 15 meses para resolver.

Como estar protegido?

Até o momento não há um patch disponível, portanto, um modo para estar protegido contra um possível ataque, até que a vulnerabilidade seja reparada, é alterar a placa de rede das máquinas virtuais para PCNET ou a rede paravirtualizada (virtio-net). Caso não seja possível realizar a mudança, altere o modo do NAT para outro (embora a primeira forma seja considerada mais segura).