Drucksache: Windows Developer 2.16 - Wie sicher sind virtuelle Maschinen?
Im windows.developer 2.16 ist ein Artikel über die Sicherheit virtueller Maschinen erschienen.
Was passiert, wenn ein Cyberkrimineller die Virtuelle Maschine übernimmt?
Hängt er dann darin fest, oder kann er sie verlassen und das zugrunde liegende System, womöglich eine Cloud, oder zumindest "benachbarte" virtuelle Maschinen übernehmen? Merkt er denn überhaupt, dass er keinen richtigen Rechner, sondern "nur" einen virtuellen übernommen hat?
Die Cyberkriminellen können aus VM ausbrechen, und sie können auch erkennen, wenn sie eine kompromittiert haben, sich ein Ausbruch also lohnt. Schwachstellen, die entsprechende Angriffe erlauben, gibt es auch immer wieder. Trotzdem gibt es bisher keine entsprechenden Angriffe. Sehr wahrscheinlich, weil sich damit kein Geld verdienen lässt.
Wenn die Cyberkriminellen eine Möglichkeit finden, über Ausbrüche aus einer VM und das Eindringen in andere VM oder den Hypervisor Geld zu verdienen, werden sie entsprechende Angriffe sicher starten. Theoretisch wäre zum Beispiel Ransomware denkbar, die nicht die Daten eines einzelnen Rechners verschlüsselt, sondern die Daten aller VM auf einem Host eines Cloud-Anbieters. Aber bisher hat sich niemand die Mühe gemacht, so einen Angriff zu implementieren.
Wenn VM zur Zeit angegriffen werden, dann weil auf ihnen zufällig etwas für den Angreifer interessantes läuft. Zum Beispiel eine Webanwendung, die er für Drive-by-Infektionen präparieren oder deren Benutzerdatenbank er ausspähen will. Ob das aber auf einer realen oder virtuellen Maschine läuft interessiert diese Angreifer nicht.
Trotzdem sollten Sie ihre VM schützen. Und zwar genau so, wie sie auch einen realen Rechner schützen. Denn wenn kein Angreifer Zugriff auf die VM erhält, kann auch keiner daraus ausbrechen.
Beim Host, Hypervisor und ggf. dessen Verwaltungslösung gilt das gleiche, die müssen ebenso wie entsprechende Anwendungen ohne VM dahinter geschützt werden. Denn ob ein Angreifer nun die Webmanagement-Oberfläche eines realen Servers kompromittiert oder die eines Hypervisors, der mehrere VM verwaltet, ist im Grunde egal.
Eine kleine Besonderheit gibt es bei VM noch zu beachten: Wenn mehrere VM auf einem Host parallel laufen und alle das komplette Schutzprogramm mit Virenscanner, Firewall, ... starten und womöglich auch noch alle gleichzeitig anfangen, einen arbeitsintensiven Prozess wie zum Beispiel einen kompletten Virenscan des Systems durchzuführen, kann der Host dabei schon gewaltig ins Schwitzen kommen. Das kann man aber durch entsprechenden Konfigurationen verhindern ([28], [29]).
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Die 0-Day-Exploits 2015 im Überblick"
- [2] Carsten Eilers: "Neue 0-Day-Exploits für Flash Player (2 Stück) und Java entdeckt"
- [3] Carsten Eilers: "Oracle patcht drei Monate alte 0-Day-Schwachstelle in Java"
- [4] Carsten Eilers: "Conficker, Stuxnet, "Here you have" - die aktuellen Würmer"
- [5] Bojan Zdrnja; InfoSec Handlers Diary Blog: "More tricks from Conficker and VM detection"
- [6] SophosLabs; Sophos Naked Security: "Conficker’s virtual machine detection"
- [7] EP_X0FF; KernelMode.info: "VMDE"
- [8] N. Rin, EP_X0FF: "VMDE - Virtual Machines Detection Enhanced" (PDF)
- [9] hfiref0x/VMDE auf GitHub
- [10] Kang Li, Xiaoning Li; Black Hat Asia 2014: "Comprehensive Virtual Appliance Detection"
- [11] Microsoft Security Bulletin MS13-092 - Important: "Vulnerability in Hyper-V Could Allow Elevation of Privilege (2893986)"
- [12] Matthias Luft; Insinuator: "Exploiting Hyper-V: How We Discovered MS13-092"
- [13] Matthias Luft; Insinuator: "State of Virtualization Security ‘14"
- [14] Xen Advisory XSA-123: "Hypervisor memory corruption due to x86 emulator flaw"
- [15] Felix Wilhelm; Insinuator: "Revisiting Xen’s x86 Emulation: Xen XSA 123"
- [16] Paul Ducklin; Sophos Naked Security: "As easy as 123: Xen hypervisor bug found, fixed, phew…?make sure you’re patched!"
- [17] Carsten Eilers: "Venom - Ein Name macht eine Schwachstelle nicht automatisch zur Katastrophe"
- [18] Microsoft Security Bulletin MS15-068 - Critical: "Vulnerabilities in Windows Hyper-V Could Allow Remote Code Execution (3072000)"
- [19] Christopher Daniel So; TrendMicro TrendLabs Security Intelligence Blog: "New Crisis/MORCUT Malware Mounts in Virtual Machines"
- [20] Warren Wu; TrendMicro Sikoky Security Blog: "Averting a ‘Crisis’ for your VMware environment"
- [21] SolusVM 1.13.03 Vulnerabilities (via Archive.org)
- [22] RamNode: "SolusVM Exploit - June 16"
- [23] Low End Box: "A Days Recap: SolusVM Exploit Released, RamNode Downtime"
- [24] Paul Ducklin; Sophos Naked Security: "OpenSSL website defacement – it wasn’t a HYPERVISOR HACK after all"
- [25] Sophia D'Antoine: "Hardware Side Channels: Exploiting Out-of-Order-Execution"
- [26] Sophia D'Antoine; Trail of Bits Blog: "Hardware Side Channels in the Cloud"
- [27] Antonio Barresi, Kaveh Razavi, Mathias Payer, Thomas Gross; Black Hat Europe 2015: "Silently Breaking ASLR in the Cloud"
- [28] Alexander Onishchenko; Securelist: "Das Aus für den "Zoo": zwei Ansätze zum Schutz virtualisierter Rechenzentren"
- [29] Alexander Onishchenko; Securelist: "Disbanding the 'Zoo'"
Trackbacks