Venom
- Antonio Capobianco
- Visite: 3821
Pillole di #MalwareAnalysis
Visto che dopo la pillola di ieri è emerso un forte interessi riguardante la sicurezza di una Virtual Machine, e che oggi, per ovvi motivi, non posso neanche uscire a fare una passeggiata ?? ho deciso di parlarvi di #VENOM.
VENOM è una vulnerabilità (non un malware) scoperta da Jason #Geffner, Senior Security Researcher di #CrowdStrike nel 2015 e catalogata come CVE-2015-3456.
In particolare, il componente #QEMU, un driver open source che nella componete #FDC gestisce i floppy disk, adottato da #KVM, #XEN e #VirtualBox (i più stagionati sanno di cosa sto parlando), è stato trovato suscettibile di attacco a buffer overflow.
Un #bufferOverflow comporta la possibilità di iniettare codice al di fuori della memoria virtuale associata al processo target, con la possibilità di poter andare a scrivere in un’area di memoria appartenente al sistema host.
Le implicazioni di questa vulnerabilità sono spaventose: un malware potrebbe eseguire quello che viene definito #HyperJump, ovvero evadere dalla VM ed infettare il SO ospitante.
Dopo poche settimane dalla divulgazione di VENOM è stata prontamente creata la patch ed eliminata la vulnerabilità.
Questo però ha fatto tremare le gambe a tutti coloro che giocano con i malware in laboratori virtuali, me compreso?????? !
Per utilizzare un laboratorio virtuale è fondamentale l’isolamento della VM quindi:
· Nessun disco condiviso con il SO host
· Sistema Host e VM non devono poter comunicare tramite rete
· Lavorare su sistemi Host non in produzione (tanto per essere sicuri ??)
I malware, poi, possono utilizzare in maniera intelligente le macchine virtuali ma con obiettivi differenti dall’Hyperjump, come ad esempio #Ragnar o #Crisis … ma questa è un’altra storia e se volete ve ne parlerò in una prossima pillola.