Skip to content

Drucksache: Windows Developer 9.17 - Wie sicher sind virtuelle Maschinen?

Im Windows Developer 9.17 ist ein Artikel über die Sicherheit virtueller Maschinen erschienen.

Virtuelle Maschinen gibt es schon relativ lange, Ausbrüche daraus aber mehr oder weniger genau so lange. Auch 2016 wurden wieder welche vorgestellt. Und trotzdem wird die Virtualisierung bzw. der Hypervisor inzwischen auch als Schutzmaßnahme eingesetzt. Wie sicher ist das denn überhaupt?

Das Ergebnis des Artikels ist eindeutig: Der Ausbruch aus virtuellen Maschinen ist möglich, trotzdem sind auf Virtualisierung setzende Sicherheitslösung eine gute Idee. So wie jeder Ansatz, der die Sicherheit erhöht. Diese Ansätze sind zwar noch so neu, dass sie noch nicht sehr ausgiebig getestet wurden, hinterlassen aber bisher einen recht guten Eindruck. Sicher werden in Zukunft Möglichkeiten gefunden werden, um diese Schutzfunktionen auszuhebeln. Aber das ist weiter kein Problem.

Zum einen werden Microsoft und Co. versuchen, jedem neu entwickelten Angriff einen Riegel vorzuschieben und jede neu entdeckte Schwachstelle zügig zu beheben.

Zum anderen gibt eigentlich immer irgend eine Möglichkeit, um eine Schutzfunktion zu umgehen. Und wenn es der Umweg über einen Social-Engineering-Angriff ist, um den Benutzer zur Installation der Schadsoftware zu bewegen. Aber jedes zusätzliche Umgehen von Schutzfunktionen erfordert einen höheren Aufwand und macht den Angriff damit schwieriger, meist unzuverlässiger und u.U. auch teurer, wenn z.B. ein 0-Day-Exploit benötigt wird. Irgendwann ist der Punkt erreicht, ab dem sich die Entwicklung bzw. Durchführung eines Angriffs nicht mehr lohnt. Und damit hätten die Schutzfunktionen dann ihr Ziel erreicht, selbst wenn sie nicht perfekt sind.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Und noch mehr Vorträge...

Für die folgenden Vorträge war im Artikel leider kein Platz mehr:

Hardware-basierte Schutzfunktionen mit Hypervisor aushebeln

Joseph Sharkey hat auf der Black Hat USA 2016 gezeigt, wie sich Hardware-basierte Schutzfunktionen wie Trusted Boot, Dynamic Root of Trust Measurement (DRTM) und das Trusted Platform Module (TPM) über einen Hypervisor aushebeln lassen (Video auf YouTube). Als Proof-of-Concept hat er einen Angriff auf AES-NI demonstriert. Über einen Hypervisor können die AES-NI-Instruktionen im Rahmen eines MitM-Angriffs ausgespäht werden. Der Angreifer erfährt dadurch sowohl den Schlüssel als auch den Klartext.

Shadow-Box - Ein „Lightweight Hypervisor-Based Kernel Protector“

Seunghun Han und Junghwan Kang haben auf der Black Hat Asia 2017 Shadow-Box vorgestellt, einen „Lightweight Hypervisor-Based Kernel Protector“, und in einem weiteren Vortrag erklärt, warum man den braucht. Shadow-Box erfüllt einige selbst gesetzte Design-Ziele: Er ist:

  • Leichtgewichtig: Sein Fokus liegt auf der Erkennung von und dem Schutz vor Rootkits, es wird wenig Speicher benötigt und weder sichere virtuelle Maschinen noch mehrere Betriebssysteme sind notwendig.
  • Praktisch: Sein „Out-of-the-Box“-Ansatz erfordert keine Modifikationen an Kernel oder Daten, und er wird dynamisch injiziert, was jederzeit vom Booten bis zur Laufzeit passieren kann.

Shadow-Box wurde auf GitHub veröffentlicht.

Forensik in der Cloud

Tobias Zillner hat auf der Black Hat USA 2016 gezeigt, wie forensische Untersuchungen des Speichers in den virtualisierten Umgebungen der Cloud möglich sind (Video auf YouTube). Das ist auch dringend nötig, denn herkömmliche Forensik-Ansätze stoßen in den virtualisierten Umgebungen an ihre Grenzen.

Carsten Eilers

Trackbacks

Keine Trackbacks