Drucksache: Windows Developer 9.17 - Wie sicher sind virtuelle Maschinen?
Im Windows Developer 9.17 ist ein Artikel über die Sicherheit virtueller Maschinen erschienen.
Virtuelle Maschinen gibt es schon relativ lange, Ausbrüche daraus aber mehr oder weniger genau so lange. Auch 2016 wurden wieder welche vorgestellt. Und trotzdem wird die Virtualisierung bzw. der Hypervisor inzwischen auch als Schutzmaßnahme eingesetzt. Wie sicher ist das denn überhaupt?
Das Ergebnis des Artikels ist eindeutig: Der Ausbruch aus virtuellen Maschinen ist möglich, trotzdem sind auf Virtualisierung setzende Sicherheitslösung eine gute Idee. So wie jeder Ansatz, der die Sicherheit erhöht. Diese Ansätze sind zwar noch so neu, dass sie noch nicht sehr ausgiebig getestet wurden, hinterlassen aber bisher einen recht guten Eindruck. Sicher werden in Zukunft Möglichkeiten gefunden werden, um diese Schutzfunktionen auszuhebeln. Aber das ist weiter kein Problem.
Zum einen werden Microsoft und Co. versuchen, jedem neu entwickelten Angriff einen Riegel vorzuschieben und jede neu entdeckte Schwachstelle zügig zu beheben.
Zum anderen gibt eigentlich immer irgend eine Möglichkeit, um eine Schutzfunktion zu umgehen. Und wenn es der Umweg über einen Social-Engineering-Angriff ist, um den Benutzer zur Installation der Schadsoftware zu bewegen. Aber jedes zusätzliche Umgehen von Schutzfunktionen erfordert einen höheren Aufwand und macht den Angriff damit schwieriger, meist unzuverlässiger und u.U. auch teurer, wenn z.B. ein 0-Day-Exploit benötigt wird. Irgendwann ist der Punkt erreicht, ab dem sich die Entwicklung bzw. Durchführung eines Angriffs nicht mehr lohnt. Und damit hätten die Schutzfunktionen dann ihr Ziel erreicht, selbst wenn sie nicht perfekt sind.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Shangcong Luan; Hack in the Box Amsterdam 2016: "Advanced Exploitation: Xen Hypervisor VM Escape"
- [2] Shangcong Luan; Black Hat USA 2016: "Ouroboros: Tearing Xen Hypervisor with the Snake" (Video auf YouTube)
- [3] Shengping Wang, Xu Liu; Hack in the Box Amsterdam 2016: "Escape From The Docker-KVM-QEMU Machine"
- [4] Tang Qinghao; Hack in the Box Amsterdam 2016: "Virtualization System Vulnerability Discovery Framework"
- [5] Felix Wilhelm, Black Hat USA 2016: "Xenpwn: Breaking Paravirtualized Devices" (Video auf YouTube)
- [6] Mateusz "j00ru" Jurczyk; j00ru//vx tech blog: "SyScan 2013, Bochspwn paper and slides"
- [7] felixwilhelm/xenpwn auf GitHub
- [8] american fuzzy lop
- [9] Jack Tang, Moony Li; Black Hat Europe 2016: "When Virtualization Encounters AFL: A Portable Virtual Device Fuzzing Framework with AFL"
- [10] Carsten Eilers: "Venom - Ein Name macht eine Schwachstelle nicht automatisch zur Katastrophe"
- [11] Michael Schwarz, Anders Fogh; Black Hat Europe 2016: "DRAMA: How Your DRAM Becomes a Security Problem" (Video auf YouTube)
- [12] IAIK/drama auf GitHub
- [13] Kaveh Razavi, Ben Gras, Erik Bosman, Bart Preneel, Cristiano Giuffrida, Herbert Bos; Black Hat Europe 2016: "Flip Feng Shui: Rowhammering the VM's Isolation"
- [14] Mark Seaborn, Thomas Dullien; Project Zero: "Exploiting the DRAM rowhammer bug to gain kernel privileges"
- [15] Ronny Bull, Dr. Jeanna N. Matthews, Kaitlin A. Trumbull; DEF CON 24: "VLAN hopping, ARP Poisoning and Man-In-The-Middle Attacks in Virtualized Environments" (Aktualisierte Präsentation als PDF, Aktualisiertes Paper als PDF, Video auf YouTube)
- [16] Rafal Wojtczuk; Black Hat USA 2016: "Analysis of the Attack Surface of Windows 10 Virtualization-Based Security" (Video auf YouTube)
Und noch mehr Vorträge...
Für die folgenden Vorträge war im Artikel leider kein Platz mehr:
Hardware-basierte Schutzfunktionen mit Hypervisor aushebeln
Joseph Sharkey hat auf der Black Hat USA 2016 gezeigt, wie sich Hardware-basierte Schutzfunktionen wie Trusted Boot, Dynamic Root of Trust Measurement (DRTM) und das Trusted Platform Module (TPM) über einen Hypervisor aushebeln lassen (Video auf YouTube). Als Proof-of-Concept hat er einen Angriff auf AES-NI demonstriert. Über einen Hypervisor können die AES-NI-Instruktionen im Rahmen eines MitM-Angriffs ausgespäht werden. Der Angreifer erfährt dadurch sowohl den Schlüssel als auch den Klartext.
Shadow-Box - Ein „Lightweight Hypervisor-Based Kernel Protector“
Seunghun Han und Junghwan Kang haben auf der Black Hat Asia 2017 Shadow-Box vorgestellt, einen „Lightweight Hypervisor-Based Kernel Protector“, und in einem weiteren Vortrag erklärt, warum man den braucht. Shadow-Box erfüllt einige selbst gesetzte Design-Ziele: Er ist:
- Leichtgewichtig: Sein Fokus liegt auf der Erkennung von und dem Schutz vor Rootkits, es wird wenig Speicher benötigt und weder sichere virtuelle Maschinen noch mehrere Betriebssysteme sind notwendig.
- Praktisch: Sein „Out-of-the-Box“-Ansatz erfordert keine Modifikationen an Kernel oder Daten, und er wird dynamisch injiziert, was jederzeit vom Booten bis zur Laufzeit passieren kann.
Shadow-Box wurde auf GitHub veröffentlicht.
Forensik in der Cloud
Tobias Zillner hat auf der Black Hat USA 2016 gezeigt, wie forensische Untersuchungen des Speichers in den virtualisierten Umgebungen der Cloud möglich sind (Video auf YouTube). Das ist auch dringend nötig, denn herkömmliche Forensik-Ansätze stoßen in den virtualisierten Umgebungen an ihre Grenzen.
Trackbacks