Skip to content

VirtualBox Core info disclosure (CVE-2022-21295)

Windows host'larında VirtualBox Core'daki bir improper-input-validation açığı, low-privileged lokal bir user'ın VirtualBox'a erişilebilir data'nın bir alt kümesini okumasına izin verir (kısmi information disclosure).

Mechanism

Bug class / invariant

Invariant şudur: host VMM ona göre davranmadan önce guest/low-privileged input validate edilmeli ve low-privileged bir user, sınırının dışındaki host-side data'yı okumamalıdır. CVE-2022-21295 (Windows host'ları), kavramsal olarak Core component'te bir improper-input-validation (CWE-20) sorunudur.

CVSS profili yalnızca low confidentiality'dir (C:L, scope changed, PR:L): low-privileged bir aktör kısmi yetkisiz read erişimi elde eder. Eşlik eden CVE-2021-2306 aynı Core info-disclosure class'ıdır ama high privilege gerektirir ve high confidentiality etkisine sahiptir (NVD CVSS:3.1 vector PR:H/S:C/C:H/I:N/A:N ile teyit edildi).

Kavramsal root cause, attacker-influenced input'un host-accessible memory/data'nın bir dilimini guest/user'a expose etmesine izin veren bir validation gap'idir — bir data alt kümesiyle sınırlı bir information-leak / memory-disclosure primitive'i.

Walkthrough

Yalnızca kavramsal

NVD'den high-level model; Oracle CPU root-cause detayı yayımlamaz. Hiçbir exploit sağlanmıyor.

  1. Bir Windows VirtualBox host'unda low-privileged lokal bir user olarak çalış.
  2. Under-validated Core path'ini crafted input ile çalıştır.
  3. Bir data alt kümesini leak et: validation gap, user'ın görmemesi gereken bazı VirtualBox'a erişilebilir data'yı expose eder (CVSS C:L).

Detection

Host / telemetry sinyalleri

  • Windows host'larında access auditing: VirtualBox object'lerine dokunan low-privileged hesaplar.
  • Inventory: 6.1.32'den eski VirtualBox'taki Windows host'larını flag'le.
  • EDR: VMM-owned handle'lara/memory'ye karşı anormal read'ler.

Mitigation

Patch & hardening

  • Oracle patch'ini uygula. VirtualBox 6.1.32'de düzeltildi (Oracle Critical Patch Update, Ocak 2022); CVE-2021-2306 6.1.20'de düzeltildi (Nisan 2021 CPU).
  • Oracle Critical Patch Update'leri ile VirtualBox'ı güncel tut.
  • VirtualBox çalıştıran host'larda lokal logon'u kısıtla ve least privilege uygula.

References