El investigador ruso Sergey Zelenyuk, descubrió una vulnerabilidad zero-day afecta a la versión 5.2.20 de Virtual Box, así como también a las versiones anteriores, y que permitiría a un atacante escapar de la máquina virtual (sistema operativo invitado) y pasar al Ring 3, para que desde ahí pueda hacer uso de técnicas existentes para escalar privilegios y llegar al sistema operativo anfitrión (kernel o ring 0).

Además de publicar los detalles de su descubrimiento, Zelenyuk publicó un video de una prueba de concepto en el que demuestra la zero-day en acción desde una máquina virtual con Ubuntu dentro de VirtualBox que también utiliza Ubuntu como sistema operativo anfitrión.

Por otra parte, el investigador asegura que su exploit es totalmente confiable y que si bien solo lo probó en la versión 16.04 y la 18.4 de Ubuntu, considera que el exploit seguramente funcione en Windows también.

Si bien no es sencillo ejecutar el exploit que divulgó Zelenyuk, el investigador decidió dar a conocer todos los detalles.

De acuerdo a un comentario que dejó en el repositorio GitHub, el investigador aclara que decidió divulgar esta vulnerabilidad por estar en desacuerdo con el estado actual de la gestión en el campo de la seguridad. En este sentido, manifiesta su molestia con respecto a los tiempos que se tardan en lanzar los parches y también con los criterios establecidos en los programas de Bug Bounty, ya que suelen cambiar de un día para otro lo que es considerado “interesante”. Además, asegura que las compañías demoran más de un mes desde que se reporta una vulnerabilidad hasta que la verifican y deciden si la comprarán o no, y no se establece de manera clara cuáles son los criterios que se emplean para fijar el valor de las recompensas.

Según publicó ZDNet, este investigador ya había reportado a Oracle una vulnerabilidad zero-day similar que también afectaba a VirtualBox en 2017, la cual Oracle tardó 15 meses en reparar.

Cómo protegerse

Por el momento no hay un parche disponible, por lo tanto, una manera de protegerse ante un posible ataque hasta que se repare la vulnerabilidad es cambiando la tarjeta de red de las máquinas virtuales hacia PCnet o hacia red paravirtualizada (virtio-net). En caso de no poder, cambiar el modo de NAT hacia otro, aunque la primera de las formas es más segura.