Pesquisador de Segurança descobre vulnerabilidade Zero-Day e cria guia passo a passo sobre a exploração. 

O desenvolvedor de exploits russo Sergey Zelenyuk resolveu ir a publico com sua descoberta de Zero-Day devido ao seu descontentamento com o estado contemporâneo da InfoSec, especialmente com a de pesquisa de segurança e recompensa de bugs. Contatou a Oracle sobre o problema, porem se cansou da “ilusão de grandeza e besteiras de marketing” que experimentou na comunidade da InfoSec.

Zelenyuk publicou detalhes completos do exploit na sua conta do GitHub e informa que a vulnerabilidade afeta o VirtualBox 5.2.20 e versões anteriores. Os unicos requisitos para aproveitar a vulnerabilidade são que a placa de rede seja um Intel PRO / MT Desktop (82540EM) e que o VirtualBox esteja configurado para o modo NAT.

Além de compartilhar a descrição detalhada da vulnerabilidade, também compartilha um vídeo mostrando a exploração.

A exploração está descrita como 100% confiável.

A exploração não é tão simples de realizar, porém ele fornece detalhes completos de como faze-lo.

Imagem relacionada

Abaixo citamos o porque Zelenyuk fez isso, se quiser ler o artigo completo clique aqui

Por quê


Eu gosto do VirtualBox e não tem nada a ver com o porquê de eu publicar uma vulnerabilidade Zero-day. A razão é meu desacordo com o estado atual de infosec, especialmente de pesquisa de segurança e recompensa de bugs:

  1. Aguarde meio ano até que uma vulnerabilidade seja corrigida e considerada boa.
  2. No campo de recompensa de bug, estes são considerados bons:
    1. Aguarde mais de um mês até que uma vulnerabilidade enviada seja verificada e a decisão de comprar ou não comprar seja tomada.
    2. Alterar a decisão na hora. Hoje você descobriu que o programa de recompensas de bugs vai comprar bugs de um software, semana depois você vem com bugs e exploits e recebe um ” não está interessado”.
    3. Não existe uma lista precisa de software em que uma bug bounty esteja interessada. Handy para recompensas de bugs, sem estruturas para os pesquisadores.
    4. Não valores precisos de preços de vulnerabilidade. Muitas coisas influenciando o preço, mas os pesquisadores precisam saber o que vale a pena trabalhar e o que não vale.
  3. Desilusão de grandeza e besteira de marketing: nomear vulnerabilidades e criar sites para elas; fazendo mil conferências em um ano; exagerando a importância do próprio trabalho como pesquisador de segurança; considerando-se “um salvador mundial”. Desça, sua Alteza.

Estou exausto dos dois primeiros, portanto, meu movimento é a divulgação completa. Infosec, por favor avance.

“Que a segurança esteja com você!!”

  • Promoção!

    Promoção!

    KernelShirts , WhiteShirt

    <BashCard>

    BashCard para os amantes de terminal!!

  • Promoção!

    Promoção!

    KernelShirts , BlackShirt

    <JustSudo>

    Quem pode pode!!

  • Promoção!

    Promoção!

    Cards

    <kaliCard>

    Se você já ama o Debian, imagine ele armado até os dentes. Mais uma blusa da série Cards.

  • Promoção!

    Promoção!

    Cards

    <JavaCard>

    Abrindo o lançamento da série Card, os apresento a blusa “JavaCard” não perca está oportunidade de obter toda sua coleção.

     

Fonte: https://betanews.com/2018/11/07/virtualbox-exploit/

O post Explorador Descobre Zero-Day Para Virtual Box apareceu primeiro em NSW.

Source: NSWorld

Categorias: Sem categoria

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *