Onderzoekers van het Franse beveiligingsbedrijf VUPEN hebben een manier gevonden om uit een virtual machine te ontsnappen en op het onderliggende systeem code uit te voeren. Het gaat om een inmiddels gepatcht beveiligingslek in de Xen hypervisor. Dit is software die draait op een host-besturingssysteem die het mogelijk maakt om meerdere gast-besturingssystemen tegelijk op dezelfde hardware te draaien. Virtualisatie, zoals dit wordt genoemd, maakt het mogelijk om op een fysieke server een (groot) aantal virtuele servers te gebruiken waardoor de fysieke server een veel groter deel van de tijd gebruikt wordt.
Intel
Door de kwetsbaarheid, die zich voordoet bij systemen met Intel-processoren, kan een lokale aanvaller uit de gevirtualiseerde 'gast' omgeving ontsnappen en willekeurige code met de hoogst mogelijke rechten op het host systeem uitvoeren. Dat betekent dat een aanvaller ook toegang tot de hardware krijgt en 'unprivileged' domeinen kan beheren.
De aanval van VUPEN werd uitgevoerd op een 64-bit Linux geparavirtualiseerde 'guest' omgeving die op Citrix XenServer 6.0.0 met Xen 4.1.1 draaide. Volgens de Fransen werkt de methode ook bij andere versies. Het beveiligingslek werd al in juni gerapporteerd en was naast Xen ook in FreeBSD, Windows, NetBSD, Oracle, Red Hat en SUSE Linux aanwezig.
Beveiliging
Inmiddels is het probleem in alle besturingssystemen gepatcht. Citrix kwam in juni met een update. "Het is belangrijk om te beseffen dat virtuele computers niet dezelfde beveiliging bieden als fysiek gescheiden systemen. Uiteraard is het heel prettig om veel virtual machines op één server te draaien, en dit doen we natuurlijk zelf ook voor de challenges op onze site. Er zullen nog regelmatig problemen worden gevonden in de virtualisatie-software, zowel in Xen als in KVM, VMware, etc", zegt Frank van Vliet, CTO van Certified Secure.
"Op het moment dat een aanvaller toegang heeft tot één VM, dan heeft hij door kwetsbaarheden in de virtualisatiesoftware ook toegang tot de andere virtual machines op dezelfde server. Het is daarom verstandig om alleen virtual machines van hetzelfde beveiligingsniveau bij elkaar op een server te zetten", merkt Van Vliet op.
Dit zou voor bedrijven die gebruik maken van virtuele hosting een lastig probleem zijn, want hun virtual machines worden op dezelfde hardware gedraaid als de virtual machines van andere klanten. "Daarmee wordt de beveiliging van hun virtual machines dus afhankelijk van beveiliging van de andere virtual machines; een aanvalsvector waar je dus geen invloed op hebt."
Deze posting is gelocked. Reageren is niet meer mogelijk.