Баг Vagrant позволяет получить доступ ко всей файловой системе хоста

Баг Vagrant позволяет получить доступ ко всей файловой системе хоста

Баг Vagrant позволяет получить доступ ко всей файловой системе хоста

Во время экспериментов с VirtualBox эксперт наткнулся на серьезную уязвимость. Оказалось, что при запуске непривилегированной программы внутри Vagrant box (файл с полностью настроенной и готовой к использованию виртуальной средой), можно получить доступ на чтение и запись ко всей файловой системе.

Проблема кроется не в VirtualBox, а в неправильной конфигурации Vagrant. Исследователь также отметил, что это известный баг. Если вы используете ненадежный код внутри Vagrant box, вы должны явно указать переменную VAGRANT_DISABLE_VBOXSYMLINKCREATE, например, добавив:

export VAGRANT_DISABLE_VBOXSYMLINKCREATE=1

В файл .profile/.zprofile.

Vagrant по умолчанию устанавливает флаг SharedFoldersEnableSymlinksCreate для каждой синхронизированной папки, которую он создает. Причем vagrant share включена в каждом Vagrant box по умолчанию, если явно не указано обратное:

config.vm.synced_folder ".", "vagrant", disabled: true

«В документации могли бы более четко прописать последствия активации этого флага. Похоже, разработчики Vagrant полагают, что все боксы являются безоговорочно доверенными, однако это противоречит моим понятиям о безопасности. От Vagrant я ожидаю те же гарантии безопасности, которые предоставляет VirtualBox», — пишет специалист.

Общие папки в VirtualBox реализованы как служба HGCM (Host-Guest Communication Manager). HGCM включает довольно простой протокол RPC, через который гость может совершать вызовы функций, благодаря этому механизму реализовано несколько других фичей VirtualBox, завязанных на взаимодействии с гостем: совместное использование буфера обмена, Drag-and-drop и 3D-ускорение.

Чтобы инициировать вызов HGCM, например, читать или записывать файл внутри общей папки, запрос должен быть отправлен на специальное устройство VMM (Virtual Machine Monitor), доступное для каждой виртуальной машины через PCI. Для этого обычно требуются привилегии ядра.

Тем не менее, если установлены дополнения VirtualBox для гостя, запросы могут быть сделаны с помощью драйвера VBoxGuest, который открыт для доступа извне (т.е. непривилегированных процессов). Поскольку синхронизированные папки Vagrant используют возможности общих папок, боксы Vagrant обычно поставляются с уже добавленными дополнениями.

Эта уязвимость получила идентификатор CVE-2018-2693, «повышение привилегий».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В работе облачных сервисов Microsoft произошел глобальный сбой

В ночь на 26 ноября в работе сервисов на платформе Microsoft 365, включая Teams, Exchange Online и Outlook, произошел сбой. Он продолжался 8 часов и был связан с ошибками в ходе планового обновления платформы.

Проблемы в работе сервисов Microsoft начали проявляться между 22:10 и 22:30 UTC (1:10 и 1:30 соответственно по московскому времени). Однако первые симптомы сбоя начали спорадически появляться уже в ночь на воскресенье 24 ноября.

Пользователи Outlook и Exchange Online не могли синхронизировать почту. В Teams перестали работать все функции, включая чаты, голосовые сообщения и календарь. Больше всего жалоб на прекращение работы сервисов поступало из обеих Америк, Австралии и зарубежного Дальнего Востока, где сбой пришелся на разгар рабочего дня.

Проблемы были вызваны неудачным обновлением платформы.

«Мы выявили недавнее изменение, которое, по нашему мнению, привело к сбою. Мы начали отменять изменение и выясняем, какие дополнительные действия необходимы для смягчения проблемы», — сообщили в Microsoft.

Служба поддержки Microsoft пообещала устранить проблемы за три часа. Однако оперативно это сделать не получилось, и работы затянулись до утра по UTC.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru