“Giftiger” Fehler kann zum Ausbruch aus der Virtuellen Maschine und Datendiebstahl führen

In einer kleinen Komponente, die Bestandteil vieler virtueller Plattformen ist, wurde eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen kann, aus der Gast-VM auszubrechen und Code auf dem Hostsystem sowie auf anderen VM in dieser Hostumgebung auszuführen. Laut Aussage von Experten betrifft diese Lücke ein breites Spektrum von Virtualisierungsprodukten, die unter gängigen Betriebssystemen laufen.

Um diese Sicherheitslücke auszunutzen, muss ein Hacker lediglich Platz bei einem Cloud-Hosting-Provider kaufen. Von einer solchen Plattform aus kann er über ein Exploit über die Grenzen seiner virtuellen Maschine hinausgehen und Zugriff auf eine beliebige VM bei dem Host erhalten. Einem Angreifer eröffnet sich zudem die Möglichkeit, in das lokale Netzwerk einzudringen, in dem die Hostmaschine läuft, und bis zu den vertraulichen Informationen vorzudringen, die in diesem Netz gespeichert werden. Der gefährliche Bug wurde von Jason Geffner entdeckt, dem führenden Spezialisten für IT-Sicherheit bei CrowdStrike.

Die Sicherheitslücke ist indirekt in dem virtuellen Floppy Disk Controller (FDC) enthalten, der vom Open-Source-Emulator QEMU verwendet wird. Diese angreifbare Komponente ist in einer Reihe von Virtualisierungsprodukten enthalten, unter anderem in Xen und KVM, und das zahlenmäßig größte Angriffspublikum stellen Hosting-Provider, die diese Plattformen nutzen. Unter Berücksichtigung der allgemeinen Tendenz zur Verlagerung der Unternehmensressourcen in die Cloud kann sich der potentielle Verlust durch die Ausnutzung einer Jahrzehnte alten Sicherheitslücke als durchaus spürbar erweisen.

„Eine derartige Attacke macht finanzielle Ausgaben erforderlich: Normalerweise muss ein Cyberkrimineller lediglich ein passendes Exploit finden, doch in diesem Fall muss er bezahlen, wenn er gewisse lokale Privilegien erhalten will“, erläutert Dan Kaminsky, Mitbegründer von White Ops. „Der Code, der es ermöglicht, virtuelle Maschinen zu isolieren, ist weit verbreitet, doch wie alle anderen Codes auch, hat er seine Schwächen. Viele Cloud-Provider bieten erhöhte Hardware-Isolation, damit die Kunden offene Verbindungen zwischen virtuellen Maschinen auf ein Minimum reduzieren können, wobei sie sie auf die Grenzen ihres Unternehmens beschränken. Ist ein solcher zusätzlicher Service verfügbar, ergibt es Sinn, ihn zu erwerben, um die Chancen für Angreifer zu mindern“.

Obwohl Floppy Disks heute hoffnungslos veraltet sind, wird der FDC- Code, der für diese Sicherheitslücke verantwortlich ist, bis heute verwendet und ist recht weit verbreitet. „Für viele angreifbare Produkte, die für die Emulation vorgesehen sind, werden virtuelle Floppy Disks standardmäßig in neue virtuelle Maschinen integriert“, resümieren die Experten in den FAQ ihres Berichts über die gefährliche Sicherheitslücke. „Im Fall von Xen und QEMU kann der Administrator die Ausführung dieser Funktion entschieden verbieten, allerdings erhält der unzuverlässige FDC-Code aufgrund eines anderen, nicht mit dieser Sicherheitslücke in Verbindung stehenden Fehlers seine Aktivität aufrecht und bleibt für Ausnutzung offen.“

Die kritische Sicherheitslücke wurde auf den Namen VENOM getauft, was sich folgendermaßen entschlüsseln lässt: Virtualized Environment Neglected Operations Manipulation (und das englische Wort selbst lässt sich als „Gift“ oder „giftig“ übersetzen). Geffner entdeckte sie, als er ein Audit von Hypervisoren virtueller Maschinen durchführte. Dieser Bug existiert seit dem Jahr 2004, seitdem der Code des virtuellen FDC in QEMU hinzugefügt wurde. Die Entwickler Xen und QEMU haben bereits ein entsprechendes Patch veröffentlicht und die meisten der großen Cloud-Provider haben ebenfalls Maßnahmen gegen das Exploit ergriffen. Trotzdem nimmt Kaminsky, der zusammen mit CrowdStrike an einem Fix arbeitet, an, dass die Gefahr, dass VENOM in Attacken zum Einsatz kommt, nach wie vor aktuell ist.

„Wir verwenden zunehmend Sandboxes im Netzwerk, um den Traffic zu analysieren“, bemerkt der Experte, „und wir müssen dafür bezahlen. Ein Ausbruch aus der VM (und hier handelt es sich um einen besonderen Fall, diese Möglichkeit vererbt sich über das ganze Ökosystem) macht den gesamten Traffic im angegriffenen Netz für einen Hacker sichtbar. In jedem Fall ist es nicht möglich, eine Architektur auf der Basis einer Sandbox so zu patchen wie normales Netzwerk-Equipment. Wenn Sie sie benutzen, führen Sie umgehend eine detaillierte Überprüfung durch, denn eine solche Architektur ist ihrer Natur nach offen für Missbrauch.“

Die Mitglieder des Projekts Xen widmen VENOM eine eigene Infoschrift. „Diese Sicherheitslücke betrifft in unterschiedlichem Maße (in Abhängigkeit von der Konfiguration) alle Xen-Systeme mit Gast-Plattformen auf Basis der x86-Architektur, die im Modus der vollständigen Virtualisierung laufen und für die Modellierung keine gesonderten Domains nutzen”, warnen die Entwickler. „Die voreingestellte Konfiguration ist ebenfalls angreifbar ebenso wie Gastsysteme, die die Gerätemodelle qemu-xen oder qemu unterstützen. Gastsystemen, die für die Modellierung den Prozess qemu-dm verwenden, droht lediglich das Abfangen der Service-Domain“.

Vertreter von Amazon, einem der größten Cloud-Service-Provider, sind davon überzeugt, dass der VENOM-Bug ihre Systeme nicht betrifft. „Wir haben Kenntnis von dem QEMU-Sicherheitsproblem mit der Bezeichnung CVE-2015-3456, auch bekannt als VENOM, das verschiedene virtuelle Plattformen betrifft“, heißt es in der entsprechenden Infoschrift von Amazon. „Die Sicherheitslücke stellt keine Bedrohung für die Daten der AWS-Kunden und ihre Systeme dar.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.