Oracle VirtualBox CVE-2024-21111 本地权限提升漏洞分析

漏洞概述

CVE-2024-21111 是 Oracle VirtualBox 7.16 版本之前存在的一个本地权限提升漏洞，攻击者可以利用符号链接（Symbolic Link）机制实现任意文件删除和移动操作，进而通过 Windows 系统机制实现权限提升。

受影响版本

• Oracle VirtualBox 7.16 之前的所有版本

漏洞原理

核心问题

VirtualBox 在处理某些文件操作时，未能正确验证符号链接，导致攻击者可以通过创建精心设计的符号链接，实现：

1. 任意文件删除
2. 任意文件移动

Windows 提权机制利用

在 Windows 系统中，通过特定的文件操作可以触发权限提升：

1. DLL 劫持：通过移动或替换关键系统 DLL 文件
2. 服务二进制替换：通过替换服务对应的可执行文件
3. 计划任务劫持：通过修改计划任务指向的文件

漏洞详细分析

符号链接攻击

VirtualBox 在以下场景中未正确处理符号链接：

1. 共享文件夹操作：当 VirtualBox 处理主机与虚拟机之间的共享文件夹时
2. 虚拟机配置操作：在修改虚拟机配置或日志文件时

攻击路径

1. 攻击者在可控目录创建符号链接，指向系统关键文件
2. 触发 VirtualBox 执行文件删除或移动操作
3. VirtualBox 由于未验证符号链接的真实性，操作了系统关键文件
4. 攻击者通过替换的系统文件获得权限提升

漏洞利用步骤

前置条件

1. 攻击者拥有本地低权限账户
2. 系统安装了受影响版本的 VirtualBox
3. VirtualBox 相关服务正在运行

利用过程

1. 识别可利用的文件操作：

   • 监控 VirtualBox 执行的文件操作
   • 确定哪些操作可以被低权限用户触发

2. 创建恶意符号链接：

   # 示例：创建指向系统DLL的符号链接
   cmd /c mklink C:\attack\malicious.link C:\Windows\System32\vulnerable.dll
   

3. 触发文件操作：

   • 通过 VirtualBox 命令行工具或 GUI 操作触发对符号链接位置的文件操作
   • 示例命令：

     VBoxManage modifyvm "VM名称" --some-parameter "C:\attack\malicious.link"
     

4. 验证文件操作：

   • 检查目标文件是否被删除或移动
   • 如果成功，准备替换文件

5. 部署恶意文件：

   • 在原始位置放置恶意 DLL 或可执行文件
   • 等待系统或服务重启加载恶意文件

防御措施

临时缓解方案

1. 限制低权限用户对 VirtualBox 相关目录的访问
2. 监控系统关键文件的异常修改

永久解决方案

升级到 VirtualBox 7.16 或更高版本，该版本修复了符号链接处理不当的问题。

修复分析

Oracle 在 7.16 版本中通过以下方式修复了该漏洞：

1. 实现了符号链接解析的严格验证
2. 对关键文件操作添加了权限检查
3. 限制了 VirtualBox 服务对系统关键区域的访问

参考代码分析

虽然漏洞报告未提供完整代码，但从描述可以推断问题代码类似于：

// 漏洞代码示例（伪代码）
void vulnerable_function(char *user_path) {
    // 未验证路径是否为符号链接
    if(delete_file(user_path)) {
        // 文件删除成功
    }
}

修复后的代码应包含：

// 修复后代码示例（伪代码）
void fixed_function(char *user_path) {
    if(is_symlink(user_path)) {
        // 拒绝符号链接操作
        return;
    }
    if(check_file_permissions(user_path)) {
        // 验证通过后才执行操作
        delete_file(user_path);
    }
}

总结

CVE-2024-21111 是一个典型的符号链接导致的本地提权漏洞，其核心在于 VirtualBox 未能正确处理符号链接，结合 Windows 系统的特性可以实现权限提升。系统管理员应及时升级 VirtualBox 到最新版本，开发者应从中学习到对用户提供路径进行严格验证的重要性。