VENOM für Angriffe nur bedingt geeigne

Das Bekanntwerden der Sicherheitslücke VENOM rief in der Sicherheits-Community unterschiedliche Reaktionen hervor; drei Tage lang wurde dieses Problem heiß von Experten diskutiert, doch trotzdem konnten sie sich nicht auf eine einheitliche Meinung über den Grad der Gefahr, über die Komplexität der Ausnutzung und die mit dieser Bedrohung einhergehenden Risiken einigen.

Möglicherweise lindert das Erscheinen des ersten РоС-Exploit die allgemeine Aufregung um diesen Bug: Anscheinend ist es nicht ganz so einfach, ihn bei Massenattacken auszunutzen.

Schon bald nach der Veröffentlichung von Details zu VENOM schrieb der Leiter des IT-Sicherheitsprojekts SUSE Linux, Marcus Meissner, ein kleines Programm und teilte es mit den Abonnenten der Mailing List OSS Security. Seinen Worten zufolge zeigt dieses РоС, dass die herausgegebenen Patches zuverlässig sind. Diese Sicherheitslücke wurde von den Forschern bei CrowdStrike entdeckt. Schuld an ihrer Existenz ist der virtuelle Floppy Disk Controller, der vom Open-Source-Emulator QEMU verwendet wird. QEMU wird von XEN, KVM und anderen Virtualisierungsplattformen verwendet, und den darauf laufenden Hosting-Providern wird empfohlen, dieses unliebsame Loch so schnell wie möglich zu stopfen.

„Das ist ein sehr einfaches Programm, das nur die Bedingungen für das Auftreten der Fehler zeigt, die den Absturz des Prozesses [QEMU] hervorrufen können“, erklärte Meissner auf Anfrage von Threatpost. „Es versucht nicht, Code-Ausführung herbeizuführen. Ich habe das Programm für unsere Qualitätssicherung geschrieben, um zu zeigen, dass der Bug nach dem Update unschädlich gemacht wurde.“

Das von dem Experten entwickelte Exploit versucht seiner Aussage zufolge hinter dem Ende des FIFO-Speicherpuffers zu schreiben, der von dem Floppy Disk Controller zum Speichern von Befehlen und Parametern verwendet wird. Als Resultat bringt das РоС den QEMU-Prozess erfolgreich zum Absturz.

„Die für das Exploit notwendigen Bedingungen hervorzurufen, ist einfach“, erläutert Meissner, „doch ein Angreifer benötigt Root-Rechte auf einem Gastrechner. Um von dort aus die Ausführung von Code zu bewirken, muss man über genaue Kenntnis des Speicherschemas des laufenden QEMU-Prozesses verfügen. Ohne Adressraum-Randomisierung ist das mehr oder minder einfach, aber einen solchen Fall habe ich noch nicht untersucht.“

Die VENOM-Sicherheitslücke ermöglicht es einem Angreifer, eine virtuelle Maschine zu verlassen und auf die Hostplattform zuzugreifen und zudem von dort aus in andere virtuelle Maschinen einzudringen, die an diesen Server gebunden sind. „Das Ausbrechen aus der Gast-VM würde ich mindestens als Bedrohung mit einer Bewertung zwischen „gefährlich“ und „kritisch“ einstufen“, äußerte Meissner zu der Gefahr, die von dieser Schwachstelle ausgeht.

Der bekannte Sicherheitsforscher Dan Kaminsky erklärte gegenüber Threatpost, dass ein Angreifer gar nicht auf ein Exploit zurückgreifen müsse, um lokale Privilegien zu erhalten, sondern dass er diese einfach nur zu kaufen brauche. „Viele Cloud-Provider bieten erhöhte Hardware-Isolation, damit die Kunden offene Verbindungen zwischen virtuellen Maschinen auf ein Minimum reduzieren können, wobei sie sie auf die Grenzen ihres Unternehmens beschränken. Ist ein solcher zusätzlicher Service verfügbar, ergibt es Sinn, ihn zu erwerben, um die Chancen für Angreifer zu mindern“, empfiehlt der Experte.

Obwohl Floppy Disks heute hoffnungslos veraltet sind, wird der FDC- Code, der für diese Sicherheitslücke verantwortlich ist, bis heute verwendet und ist recht weit verbreitet. „Geräte wie Floppy Disk Controller oder Netzwerkkarte haben Zustandsautomaten, die recht schwierig zu emulieren sind“, kommentiert Meissner. „Sie wurden häufig entwickelt, ohne dass Sicherheitsfragen dabei eine Rolle spielten, denn das ist schon zehn Jahre her – wenn nicht sogar länger. Überdies ist es nicht einfach, Programme in С zu schreiben, und sie sind daher immer voller Bugs. Floppy Disk Controller bilden da sicherlich keine Ausnahme.“

Die meisten – wenn nicht gar alle – betroffenen Anbieter haben bereits Patches für die VENOM-Sicherheitslücke veröffentlicht. Ob nun die Hosting-Provider die für die Installation der Patches benötigte Auszeit und die damit verbundenen Risiken und Verluste in Kauf zu nehmen bereit sind, ist eine andere Sache.

Inzwischen rufen die Experten die Anwender auf, nicht aufgrund übertriebener Bewertungen von VENOM in Panik zu verfallen, die diese Sicherheitslücke mit Heartbleed und anderen Bugs vergleichen, die für das gesamte Internet eine Bedrohung darstellen. So erklärte etwa Chris Eng, Vize-Präsident der IT-Forschung bei Veracode, dass eine massenhafte Ausnutzung von VENOM praktisch unmöglich sei, da Exploits für die entfernte Ausnutzung von Code auf konkrete Umgebungen zugeschneidert werden müssen. Darüber hinaus werden die Risiken durch die Tatsache reduziert, dass Angreifer, um Attacken durchzuführen, unbedingt Zugriff auf den Host haben müssen.

„Wenn die Ausnutzung einer Sicherheitslücke vom Typ Heartbleed es ermöglicht, Millionen Ziele anzugreifen, so kann man VENOM keinesfalls in diesem Maßstab einsetzen“, unterstreicht der Vertreter von Veracode. „Solche Sicherheitslücken wie VENOM dienen eher als Trampolin für zielgerichtete Spionageattacken, den Beginn von Kriegshandlungen im Cyberspace und ähnliches. Unternehmen sollten die Patches unbedingt installieren, sobald sie erscheinen.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.