VirtualBox

Die Schwachstelle steckt im Kerneltreiber VBoxDrv.sys von Oracle VirtualBox, genauer in der Funktion VBoxDrvNtDeviceControl, die unter Windows Steuerbefehle (IOCTLs) aus dem Benutzerbereich entgegennimmt. Für die Datenübergabe nutzt der Treiber eine Kommunikationsmethode, bei der er die übergebenen Adressen und Puffer selbst prüfen müsste – genau diese Prüfung fehlt jedoch: Der mit der Anfrage verknüpfte Puffer wird nicht ausreichend validiert. Ein Angreifer mit lokalem Zugang zum System kann das Treibergerät öffnen und einen manipulierten Steuerbefehl mit einer untergeschobenen Kerneladresse senden. Dadurch erhält er erweiterte Rechte und kann eigenen Code mit Kernel-Privilegien ausführen. Da der Treiber auf der höchsten Berechtigungsebene des Betriebssystems läuft, bedeutet das die vollständige Kontrolle über das betroffene Windows-System. Voraussetzung ist ein bereits bestehender lokaler Zugang; aus der Ferne allein lässt sich die Lücke nicht auslösen.