Skip to content

VirtualBox Core improper privilege management (CVE-2024-21121)

VirtualBox Core'da bir improper-privilege-management açığı (CWE-269), low-privileged lokal bir user'ın privilege sınırının ötesinde VirtualBox'a erişilebilir data okumasına izin verir.

Mechanism

Bug class / invariant

Invariant şudur: low-privileged lokal bir user, VirtualBox VMM'inin daha yüksek privilege context'ine ayrılmış data ya da capability'lere erişim kazanmamalıdır. CVE-2024-21121, CWE-269 Improper Privilege Management olarak sınıflandırılır: Core component, low-privileged bir aktörün erişimini doğru biçimde kısıtlamaz.

Skorlanan etkisi yalnızca confidentiality'dir (impact: C:H / I:N / A:N); exploitability context ise local, low-privileged'dır (PR:L, S:C — scope changed). "privilege management" etiketine rağmen, NVD bunu code execution değil information disclosure — erişiminin dışında olması gereken data'yı okuyan low-privileged bir user — olarak modeller. Scope change, erişimin hedeflenen privilege sınırını aşmasını yansıtır.

Kavramsal root cause, VirtualBox'a erişilebilir data'yı expose eden bir operasyon üzerinde eksik ya da hatalı bir privilege/access check'idir.

Walkthrough

Yalnızca kavramsal

NVD'den high-level model; Oracle CPU root-cause detayı yayımlamaz. Hiçbir exploit sağlanmıyor.

  1. VirtualBox'ın çalıştığı altyapıya log on olabilen, low-privileged lokal bir user olarak çalış.
  2. Core component'teki under-protected operasyonu çağır.
  3. Privileged data oku: privilege check yetersiz olduğu için, user VirtualBox'a erişilebilir tüm data'ya yetkisiz read erişimi elde eder (CVSS C:H).

Detection

Host / telemetry sinyalleri

  • Access auditing: erişmemesi gereken VirtualBox resource'larına/handle'larına erişen low-privileged hesaplar.
  • EDR: non-admin user'ların VirtualBox service/driver object'leriyle olağandışı etkileşimi.
  • Inventory: 7.0.16'dan eski VirtualBox version'larındaki host'ları flag'le.

Mitigation

Patch & hardening

  • Oracle patch'ini uygula. VirtualBox 7.0.16'da düzeltildi (Oracle Critical Patch Update, Nisan 2024).
  • Oracle Critical Patch Update'leri ile VirtualBox'ı güncel tut.
  • VirtualBox çalıştıran host'larda lokal logon'u kısıtla; hesaplara least privilege uygula.

References