image

Franse hackers ontsnappen uit virtual machine

vrijdag 7 september 2012, 16:08 door Redactie, 6 reacties

Onderzoekers van het Franse beveiligingsbedrijf VUPEN hebben een manier gevonden om uit een virtual machine te ontsnappen en op het onderliggende systeem code uit te voeren. Het gaat om een inmiddels gepatcht beveiligingslek in de Xen hypervisor. Dit is software die draait op een host-besturingssysteem die het mogelijk maakt om meerdere gast-besturingssystemen tegelijk op dezelfde hardware te draaien. Virtualisatie, zoals dit wordt genoemd, maakt het mogelijk om op een fysieke server een (groot) aantal virtuele servers te gebruiken waardoor de fysieke server een veel groter deel van de tijd gebruikt wordt.

Intel
Door de kwetsbaarheid, die zich voordoet bij systemen met Intel-processoren, kan een lokale aanvaller uit de gevirtualiseerde 'gast' omgeving ontsnappen en willekeurige code met de hoogst mogelijke rechten op het host systeem uitvoeren. Dat betekent dat een aanvaller ook toegang tot de hardware krijgt en 'unprivileged' domeinen kan beheren.

De aanval van VUPEN werd uitgevoerd op een 64-bit Linux geparavirtualiseerde 'guest' omgeving die op Citrix XenServer 6.0.0 met Xen 4.1.1 draaide. Volgens de Fransen werkt de methode ook bij andere versies. Het beveiligingslek werd al in juni gerapporteerd en was naast Xen ook in FreeBSD, Windows, NetBSD, Oracle, Red Hat en SUSE Linux aanwezig.

Beveiliging
Inmiddels is het probleem in alle besturingssystemen gepatcht. Citrix kwam in juni met een update. "Het is belangrijk om te beseffen dat virtuele computers niet dezelfde beveiliging bieden als fysiek gescheiden systemen. Uiteraard is het heel prettig om veel virtual machines op één server te draaien, en dit doen we natuurlijk zelf ook voor de challenges op onze site. Er zullen nog regelmatig problemen worden gevonden in de virtualisatie-software, zowel in Xen als in KVM, VMware, etc", zegt Frank van Vliet, CTO van Certified Secure.

"Op het moment dat een aanvaller toegang heeft tot één VM, dan heeft hij door kwetsbaarheden in de virtualisatiesoftware ook toegang tot de andere virtual machines op dezelfde server. Het is daarom verstandig om alleen virtual machines van hetzelfde beveiligingsniveau bij elkaar op een server te zetten", merkt Van Vliet op.

Dit zou voor bedrijven die gebruik maken van virtuele hosting een lastig probleem zijn, want hun virtual machines worden op dezelfde hardware gedraaid als de virtual machines van andere klanten. "Daarmee wordt de beveiliging van hun virtual machines dus afhankelijk van beveiliging van de andere virtual machines; een aanvalsvector waar je dus geen invloed op hebt."

Reacties (6)
07-09-2012, 16:50 door [Account Verwijderd]
De "CTO" moet dringend zelf op cursus VM beveiliging. Er is de vShield technologie van VMWare, allerhande hypervisor firewalls, IPS en AV technologie, er is ondertussen reflective tech om VMs door fysieke IPS van McAfee te laten scannen. Er is tevens ook zoiets als degelijk virtueel netwerk design en storage beveiliging...

Daarnaast is de belangrijkste vector voor aanvallen nog steeds de applicatie en niet het onderliggend platform. Veel ongenuanceerde FUD wat die man uitkraamt, ingegeven door een gebrek aan kennis van de datacenter wereld?
07-09-2012, 17:54 door burne101
Gelukkig maar dat jij klaar stond om iedereen te wijzen op zijn fouten. Stel je voor, er is iemand fout op het internet..
07-09-2012, 18:44 door Anoniem
Daar heeft Red Hat sVirt voor ontwikkeld. SELinux voor KVM bases virtualisatie.
07-09-2012, 18:46 door Anoniem
"Generally Qubes OS is an advanced tool for implementing Security by Isolation approach on your desktop, using domains implemented as lightweight Xen VMs."

En toen was Qubes OS waarschijnlijk niet zo veilig meer XD

Bron: http://theinvisiblethings.blogspot.nl/2012/09/introducing-qubes-10.html
07-09-2012, 20:03 door Anoniem
Als je uit een VM kan breken naar de hypervisor dan heb je geen ene moer aan al je mooie scanners, filters, loggers en wat er nog meer is. Immers je kan dan vanuit de guest zonder gebruik te maken van API's of netwerk verbindingen code injecteren in de hypervisor. Als je eenmaal de hypervisor gecompromiteerd hebt, heb je ook de controlle over alle VM's die daar op draaien. De CTO kletst dus niet maar heeft gewoon een punt. Ik denk dat deej zelf maar eens moet lezen op welke manier CVE-2012-0217 werkt en wat minder in de marketing praatjes van diverse leveranciers moet geloven.
07-09-2012, 22:16 door Anoniem
@deej: deze aanvalsvector zit op CPU niveau. Als je vanuit een VM toegang krijgt tot het hele systeem kun je dus ook andere VMs direct benaderen.... dat gaat niet over het netwerk of via het executeren van executables. Dus je firewalls, IPS an AV technologie gaan niet helpen noch je storage beveiliging of virtueel netwerk design.

De CPU (alleen Intel) blijft in ring0 (hoogste permissie level) als een sysret instructie (return from system-call) faalt als het adres in register RCX (userland return adres) niet in de canonieke range ligt.Er wordt een General Protection Fault gegooid maar (zoals gezegd) blijft de CPU dan in ring0 zitten en heb je toegang tot heel het fysieke syteem (dus ook alle VMs).

Ik denk dat de CTO het weldegelijk begrepen heeft en geen cursusje "VM beveiliging" hoeft te volgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.