17:51
13/5/2015

“Nowy Heartbleed” — tak zachodnia prasa już nazywa dziurę w hypervisorach, której szczegóły ujawniono przed kilkoma godzinami. Dziura, której nadano nazwę VENOM, dotyczy środowisk zwirtualizowanych Xen, KVM i QEMU i pozwala atakującemu na “wyskoczenie” ze swojej maszyny wirtualnej oraz przejęcie kontroli nad innymi, sąsiednimi maszynami, które najprawdopodobniej będą należały do innych klientów. Atak najbardziej zaboli serwerownie i “chmury”…

VENOM ma logo - a jakże!

VENOM ma logo – a jakże!

VENOM i ucieczka z maszyny gościa

Chmury (czy też wedle starej nomenklatury — serwerownie) korzystają z wirtualizacji, aby fizyczne zasoby danego serwera “podzielić” pomiędzy wielu klientów. Każdy z klientów ma swoją instancję (tj. maszynę wirtualną, VPS-a) w ramach której instalowany jest system operacyjny, którym klient zarządza. Bezpieczeństwo środowiska wirtualnego opiera się jednak na tym, że dany klient nie ma dostępu do zarządcy, czyli hypervisora maszyny wirtualnej, ponieważ to właśnie za jego pomocą zarządza się całym środowiskiem wirtualnym (stawia i “gasi” maszyny, przydziela zasoby, itp.).

Niestety, atak VENOM (virtualized environment neglected operations manipulation), odkryty przez pracowników CrowdStrike, pozwala dowolnemu klientowi “wyskoczyć” ze swojej maszyny wirtualnej i przejąć kontrolę nad pozostałymi środowiskami wirtualnymi działającymi w obrębie danego węzła.

Infografika ukazująca atak VENOM

Infografika ukazująca atak VENOM

Co jest przyczyną ataku? Błąd typu buffer overflow znajdujący się od 2004 roku w wirtualnym kontrolerze dyskietek w QEMU, który jest wykorzystywany w wielu innych platformach wirtualizacyjnych — m.in. w Xen, KVM i oczywiście QEMU. Patche dla Xena i QEMU są już dostępne, a VirtualBox niebawem wypuści łatkę. Dziura nie dotyczy VMware i Hyper-V.

Nie jest tak źle jak pisze zachodnia prasa…

Odkrywcy nie odnotowali ataków z wykorzystaniem tej podatności. Nie jest więc źle (a zwłaszcza tak źle, jak było w przypadku Heartbleeda, który po kilku godzinach od ujawnienia był aktywnie wykorzystywany do ataków). Exploit na VENOM-a pewnie też się niebawem pokaże, gdyż na stronie poświęconej podatności dość jasno wskazano, gdzie znajduje się podatność:

System gościa komunikuje się z FDC wysyłając komendy takie jak: seek, read, write, format, etc. QEMU używa bufora o stałej długości (…) bufor jest resetowany, ale nie zawsze.

Warto jednak podkreślić, że aby przeprowadzić atak, użytkownik w systemie maszyny gościa musi mieć uprawnienia roota (lub administratora). O ile w przypadku chmur i serwerowni nie jest to problem (w zasadzie każdy sprzedawca VPS-ów oddaje klientowi konto administracyjne) to przynajmniej ci z Was, którzy oparli swoją sieć firmową o maszyny wirtualne mogą po części odetchnąć z ulgą — byle pracownik dostępem FTP nie wyskoczy z maszyny gościa.

VENOM zasługuje jednak na uwagę przede wszystkim z racji dość szerokiej powierzchni ataku. Poprzednie “ucieczki” z tzw. maszyny gościa, takie jak np. Directory Traversal we współdzielonych katalogach czy błąd pamięci w akceleracji 3D VirtualBoxa wykorzystywały błędy albo typowe dla konkretnego środowiska wirtualizacyjnego, albo konfiguracje, które nie były spotykane w środowiskach produkcyjnych.

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. Ale do tego potrzeba mieć chyba emulowaną stację dyskietek na wirtualce? Jeśli tak — to ten błąd jest całkowicie niegroźny… kto włącza niby stację dyskietek w chmurze? :D

    • Ta opcja nie musi być włączona, można to zrobić nawet na wyłączonej

    • Właśnie, jak to jest? Nie widziałem środowiska “chmurowego”, które włączało by kontroler dyskietek w domyślnej konfiguracji, ale może nie jest niezbędny do uzyskania błędu?

    • Dyżurna metoda na użycie Bitlockera na VM-ce z Windows, kiedy nie masz emulowanego układu TPM, chociażby.

    • pewnie ZUS

    • wystarczy ze uzywasz hvm w xenie (a wiele instalacji domyslnie uzywa, zamiast robic parawirtualizacje). a w kvm to chyba sie w ogole nie da sie nie uzywac qemu.

    • Obsługa stacji dyskietek nie musi być uruchomiona.

    • For many of the affected virtualization products, a virtual floppy drive is added to new virtual machines by default. And on Xen and QEMU, even if the administrator explicitly disables the virtual floppy drive, an unrelated bug causes the vulnerable FDC code to remain active and exploitable by attackers.
      za http://venom.crowdstrike.com/

    • Zaimplementowali kloppy zamiast floppy i stąd problem.

  2. A to ciekawe. Wczoraj odpaliłem ten wirus (fałszywy mail z poczty polskiej) w VirtualBoxie (Win 7 64bit) i jakimś cudem zainfekował mi system hosta (Win 7 64bit).

    • na 99.9% przez SMB

    • a który VM z darmowych jest bezpieczny?

    • VMware player. Darmowe i bezpieczne (VMware workstation jest płatne, ale player jest darmowy). I można tworzyć nowe maszyny, jak myślisz, że się nie da w playerze, to masz stare informacje (kiedyś się nie dało, teraz się da).

    • Było nie instalować sterownika karty sieciowej i nie włączać folderów współdzielonych.

  3. Dyżurna metoda na użycie Bitlockera na VM-ce z Windows, kiedy nie masz emulowanego układu TPM, chociażby.

  4. Dlatego Schneier słowem się nie zająknął o Qubes OS.

    • Sam pomysł,żeby tymczasowo na wirtualce odpalić zewnętrzne usługi nie jest zły.Ponadto:

      “aby przeprowadzić atak, użytkownik w systemie maszyny gościa musi mieć uprawnienia roota (lub administratora). O ile w przypadku chmur i serwerowni nie jest to problem (w zasadzie każdy sprzedawca VPS-ów oddaje klientowi konto administracyjne) to przynajmniej ci z Was, którzy oparli swoją sieć firmową o maszyny wirtualne mogą po części odetchnąć z ulgą — byle pracownik dostępem FTP nie wyskoczy z maszyny gościa. ” – wniosek: cudów nie ma,ten bug nie powinien chyba być aż tak bolesny pod QubesOS. No chyba,że dana udostępniona usługa pozwala na zalogowanie się na roooooooooooooooooota :D – ale żeby z przeglądarki klienta itp przeskoczyć na roota to potrzebny byłby chyba kolejny jakiś ciekawy exploit pod to – nie ? Oczywiście nie wykluczam,że jakiś Jamie Jerk* z NSA np. może takie cudo TEŻ mieć,kto wie co oni tam wymyślą – ale to trochę utrudnia zadanie atakującemu. Oczywiście gdybym był porządnym programistą z wieloletnim stażem (a nie jestem) i robił to zamiast Rutkowskiej to uznałbym postawienie Xena czy czegoś podobnego, za odrobinę za mało. Z wirtualki można jakoś uciec i dobrze by było (dla użytkownika),by była to ucieczka prosto na “pole minowe”.
      Jak to zrobić,nie powiem bo nie wiem – ja się uczę dopiero.

      * – nie,nie poznałem nazwiska agenta NSA.No chyba,że taki tam przypadkiem jest.Kto jest słaby z angielskiego niech spojrzy do słownika ok ?

      A Schneier to:
      1.Amerykanin
      2.Skupia się na innej formie bezpieczeństwa – vide: Tails

      PS: Jak już jesteśmy przy Tails: dostępna jest wersja 1.4

  5. Hej NEO! Wake up!
    Opuszczamy virtuala. Chodz za białym venomkiem.

    Czekam na komunikat od wirusa na konsoli.

  6. A na może trochę nie na temat:
    Strona mobilna działafajnie, ale…
    1.W trybie pionowym ucina 1/3 obrazków z prawej strony.
    2. Podczas pisania komentarza w trybie pionowym mogę zobaczyć co najwyżej mój nick i klawiaturę, a w trybie poziomym nick, email i klawiaturę. Tak więc komentarze pisze się na ślepo. Dodajcie trochę miejsca na samym dole, żeby można było jeszcze podnieść okienko na komentarz.

    • Co ty masz za przeglądarkę ze Ci takie cuda robi?
      Każda normalna zmienia rozmiar okienka jak się klawiatura pokazuje, żeby nic z contentu strony nie znalazło się pod klawiatura.

  7. Ze strony Venom-a: “if the administrator explicitly disables the virtual floppy drive, an unrelated bug causes the vulnerable FDC code to remain active and exploitable by attackers.”
    Wniosek: jeśli floppy drive jest wyłączony można wykorzystać inny bug, by zmusić podatny kod kontrolera dyskietek odpalenia.

  8. Co do obrazków to prawda na androidowym firefoksie.

  9. … Jak również strona się odświeża po kliknięciu “reply”

  10. Chrome to samo, ale z komentarzami jest ok.

  11. Nie jest, ino wtedy wirtualke trza też samemu skrobnąć. Pozostaje problem zainfekowanego firmware biosu i twardzieli. Ogarnięcie tego dopiero daje podstawy do mania jakiegoś tam poczucia bezpieczeństwa.

  12. Używam domyślnej androidowej, ale taki problem mam tylko na niebezpieczniku. A przynajmniej ten z obrazkami. Pisanie na innych stronach nie sprawia mi problemu, ale może to być poprostu kwestia przyzwyczajenia.

  13. Xen w trybie PV/PVH może spokojnie działać bez QEMU i jakiejkolwiek emulacji sprzętu. Więc Xena dotyczy to tylko w niektórych przypadkach.

  14. Dla użytkowników Avasta – http://youtube.com/f @echo off rundll32

    keyboard,disable rundll32 mouse,disable

  15. Potwierdzam odświeżanie się strony po kliknięciu “reply”. Przez to nie można komuś odpowiedzieć.

  16. Pierwsza reklama coś się “gryzie” z tekstem. http://i.imgur.com/fhe2Ddj.png
    Firefox 37.0.2 @ Win 7 x64

    • Blokujesz adsense?

    • Racja, już zapomniałem, że używam adblocka. Z wyłączonym blokowaniem wszystko się ładnie wyświetla (z zablokowaną reklama Lenovo też :P).

    • Wszyscy blokują reklamy. Blokuję i ja.

  17. Od kiedy piszemy “writualne”?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.