Dipl.-Inform. Carsten Eilers

Die Venom-Schwachstelle hat die CVE-ID CVE-2015-3456 und befindet sich im virtuellen Floppy Disk Controller (FDC) von QEMU, einem Open-Source-Hypervisor, der von verschiedenen Virtualisierungsplattformen verwendet wird. Der Hypervisor verwaltet die verschiedenen virtuellen Maschinen und sorgt dafür, dass sie voneinander getrennt sind.

Die Venom-Schwachstelle kann von einem bösartigen Benutzer einer VM genutzt werden, um aus seiner VM auszubrechen und Code auf dem Host auszuführen. Und darüber kann er dann in andere VM einbrechen oder vom Host-Rechner aus in dessen lokales Netzwerk vordringen.

VENOM ist übrigens die Abkürzung von "Virtualized Environment Neglected Operations Manipulation", und die Schwachstelle ist bereits seit 2004 in QEMU enthalten.

Wie schlimm ist das?

Auf den ersten Blick ist diese Schwachstelle durchaus schlimm:

• QEMU wird von etlichen Virtualisierungsplattformen verwendet, unter anderem Xen, KVM, VirtualBox, nicht zu vergessen das es den nativen QEMU-Client selbst ja auch noch gibt.
• Da sich die Schwachstelle im Code des jeweiligen Hypervisors befindet, sind alle Hosts betroffen, auf denen ein verwundbarer Hypervisor läuft. Unabhängig davon, welches Betriebssystem auf dem Host läuft.
• Und da der Floppy-Treiber zur Standard-Konfiguration der betroffenen VMs gehört, sind alle Default-Installationen betroffen. Und das unabhängig davon, welches Gastbetriebssystem in der VM läuft. Und sowohl QEMU als auch Xen laden den FDC-Code auch dann, wenn gar keine virtuelle Floppy konfiguriert ist.

"Einfach mal so" aus der eigenen VM ausbrechen und in eine andere eindringen, das möchte man natürlich ganz und gar nicht haben. Jedenfalls nicht, wenn man den Host-Rechner oder eine andere VM betreibt. Zum Glück ist der Angriff nicht "so einfach":

• Erst mal ist die Schwachstelle nur lokal ausnutzbar, nicht aus der Ferne.
• Außerdem muss der Angreifer nicht nur Zugriff auf die VM haben, aus der er ausbrechen will, er benötigt außerdem root- bzw. Administrator-Rechte. Was natürlich kein Problem ist, wenn es seine "eigene" VM ist, im Fall von Hosted Software wie zum Beispiel einer Webanwendung dagegen schon.
• Und dann braucht er einen funktionsfähigen Exploit. Bisher gibt es nur einen Proof-of-Concept, der QUEMU zum Absturz bringt, aber keinen Code ausführt.

Selbst wenn ein Exploit veröffentlicht wird, über den Code ausgeführt werden kann, dann wird der sehr wahrscheinlich nur für genau eine Virtualisierungslösung und ein Host-System funktionieren. Denn die Schwachstelle ist zwar unabhängig von Host- und Gast-System, der eingeschleuste Code muss aber zum Host-System passen.

Also: Im Großen und Ganzen besteht kein Grund zu Panik. Die Schwachstelle kann weder aus der Ferne ausgenutzt werden noch kann aus der Ferne nach angreifbaren Installationen gesucht werden. Ein Angreifer muss sich root-/Admin-Zugriff auf eine VM beschaffen, um aus ihr ausbrechen zu können. Gefährdet sind also vor allem Cloud-Anbieter, die jedermann kompletten Zugriff auf eine VM gewähren. Und die kennen die möglichen Gefahren eines Ausbruchs aus der VM und haben mit Sicherheit die bereits vor der Bekanntmachung der Schwachstelle bereit stehenden Patches längst installiert.

Kritisch könnte es allenfalls für Systeme werden, die mögliche Schadsoftware in einer Sandbox ausführen und analysieren. Da die verdächtige Software meist mit Admin-Rechten ausgeführt wird, könnten solche Systeme durch eine einfache E-Mail mit verdächtigen Anhang aus der Ferne angegriffen werden. Aber auch hier gilt: Das ist alles Theorie, bisher gibt es weder entsprechende Exploits noch Angriff. Es ist nicht mal bekannt, ob es angreifbare Systeme gibt.

Ist Venom "bigger than Heartbleed"?

Der Heartbleed Bug erlaubte es, aus der Ferne sensitive Informationen wie private Schlüssel oder Zugangsdaten auszuspähen, und es gab auch entsprechende Angriffe. DAS war wirklich gefährlich. Vergleicht man es mit Venom, war Heartbleed auf jeden Fall gefährlicher. Vor allem betraf Heartbleed die OpenSSL-Library und damit Webserver, VPN- und Netzwerkappliances, Client-Rechner, ... . Venom dagegen betrifft nur Virtuelle Maschinen, die QEMU verwenden.

Warum kommt überhaupt jemand auf die Idee, Venom mit Heartbleed zu vergleichen? Bei Venom geht es ums Ausführen von Code und dem Ausbruch aus der VM, bei Heartbleed um das Ausspähen von Informationen. Wenn, dann sollte man Venom mit der ShellShock-Schwachstelle vergleichen. Die erlaubte die Ausführung von Shell-Befehlen aus der Ferne und wurde für Angriffe ausgenutzt. Was ebenfalls sehr gefährlich war. Und zwar auch gefährlicher als Venom, für das es bisher nicht mal einen Exploit gibt, von Angriffen kann zu schweigen. Ganz davon abgesehen, dass ShellShock die meisten Unix- und Linux-Systeme betraf. Venom dagegen ... s.o..

Carsten Eilers