[NEWS] Hacker brechen aus virtueller Maschine aus

[Toby-ch]

Habe auf Heise Security diesen Bericht gefunden:

Virtuelle Maschinen sollen eigentlich rigoros vom Betriebssystem abgeschottet sein, auf dem sie laufen. Ein Team hat auf dem Hacker-Wettbewerb Pwn2Own drei Exploits kombiniert, um das Wirtssystem aus der VM heraus zu kapern.

Im Laufe der ersten beiden Veranstaltungstage des renommierten Hacker-Wettbewerbs Pwn2Own, der im Rahmen der kanadischen Sicherheitskonferenz CanSecWest stattfindet, sind bereits Flash, Edge, Safari, Windows, macOS und Linux geknackt worden. Am dritten und letzten Tag sorgte das Team der chinesischen IT-Sicherheitsfirma Qihoo 360 für Aufsehen: Die Hacker kombinierten drei bislang unbekannte Sicherheitslücken, um aus einer virtuellen Maschine, die in VMWare Workstation lief, auszubrechen und das Wirtssystem zu übernehmen. Veranstalter Zero Day Initiative beglückwünschte das Team zum Hack, der mit einem Preisgeld von 105.000 US-Dollar belohnt wurde.
Gegenüber ArsTechnica erklärte Zheng Zheng von Qihoo 360, das Vorgehen in einer E-Mail: "Zuerst nutzten wir einen Fehler in der JavaScript-Engine von Microsoft Edge aus, um Code innerhalb der Edge-Sandbox auszuführen; dann bedienten wir uns eines Bugs im Windows-10-Kernel, um aus der Sandbox auszubrechen und das Gastsystem zu kompromittieren. Über eine Schwachstelle der Hardware-Simulation von VMWare gelangten wir schließlich vom Gast- auf das Host-System. Für all das reichte eine entsprechend präparierte Webseite."

Auch Auswirkungen für Privatanwender
Ein solcher Hack hat weitreichende Konsequenzen, etwa für Rechenzentren. Auf demselben Server laufen von verschiedenen Klienten angelegte virtuelle Maschinen, die aus Datenschutzgründen jeweils nur Zugriff auf ihre eigenen Daten bekommen dürfen. Ein Exploit, wie der von Qihoo 360 demonstrierte, könnte es aber erlauben, über den Umweg des Wirtssystems auch auf sensible Inhalte anderer VMs zuzugreifen. VMs kommen aber auch in kleinen Firmen oder bei Privatanwendern zum Einsatz, etwa um möglicherweise nicht vertrauenswürdige Software auszuprobieren.

Quell

Jedoch stellen sich mir da einige fragen:

Ein solcher Hack hat weitreichende Konsequenzen, etwa für Rechenzentren.

Hm ich glaube in einem Datacenter oder Rechencenter wird wohl kaum ein Linux oder MS server mit VMware Workstation betrieben da setzt man doch gleich auf den ESXI und spart sich so das Ressourcen fressende Betriebsystem ?!

Zuerst nutzten wir einen Fehler in der JavaScript-Engine von Microsoft Edge aus, um Code innerhalb der Edge-Sandbox auszuführen

Hm die meisten V Clients sind ja auch in einer AD Umgebung mit Berechtigungen so kann mann doch einfach die Nutzung des Edge für user sperren und stattdessen Firefox oder Chrome zur verfügung stellen...

Ich persönlich nutze den Edge eigentlich sehr selten..



Fakt ist da müssen jetzt die Hersteller patchen solange die Lücken noch nicht öffentlich sind passiert eigentlich nichts..



Was meint ihr dazu.?

 

[engine]

Wichtig wäre auch zu wissen, wie der Kombi-Exploit an adm. Rechte gekommen ist.

Das Exploits nicht nur unter Laborbedingungen funktionieren zeigt die Realität,
jedoch wären Angriffe ohne adm. Rechte des Users alle viel viel schwieriger durchzuführen.

 

[d4nY]

Hm ich glaube in einem Datacenter oder Rechencenter wird wohl kaum ein Linux oder MS server mit VMware Workstation betrieben da setzt man doch gleich auf den ESXI und spart sich so das Ressourcen fressende Betriebsystem ?!

Ich denke es gibt kein RZ das VMware Workstation nutzt, um seine VMs bereitzustellen
Es bleibt die Frage ob ESXi die selbe Schwachstelle besitzt, aber spätestens bei Hyper-V und KVM/Xen ist der Bug nicht mehr vorhanden

Windows 10 + Edge wäre aber in Zeiten von VDI ein durchaus übliche Kombo, der 08/15 User nutzt ja wie immer der Standardbrowser. Dann ist aber die Frage, ob eingeschränkte Rechte, ein Proxy und ein Virenscanner den Ausbruch auch ermöglicht hätten.

Aber auch wenn die Kombo eher Laborcharakter hat, man weiß ja nicht was sonst so für unbekannte Lücken im Umlauf sind

 

[Toby-ch]

Gut an die Adminrechte habe ich jetzt garnicht gedacht, normale Firmen user haben die nie! Hoffe ich jedenfalls..

d4nY
Ja das währe sicherlich interessant wie es mit dem ESXI aussieht jedoch denke ich nicht das du da was ausrichten kannst selbst wen du auf dem ESXI host landen würdest was bringt das ? Zumal es in grosen centern mehr als einen Host gibt die im Verbund arbeiten und die VMS'S auf einem Externen Datenserver liegen...

aber spätestens bei Hyper-V und KVM/Xen ist der Bug nicht mehr vorhanden

Nja wen jetzt Hyper V auf einem MS Server 2012 oä läuft nicht als Hypervisor dann bist du auf dem Server.....

 

[d4nY]

Es ist aber explizit von einem VMware Bug die Rede, also sind die andren Hypervisor mit großer Wahrscheinlichkeit nicht betroffen (was aber nicht heißt, dass es da nicht eine ähnliche Lücke gibt)

Das Problem ist, sobald man den Hypervisor übernommen hat, hat man Zugriff auf die VMs, auf Netzwerke, auf Datenspeicher usw. Es würde ja bspw. schon reichen dass man sich die virtuelle Festplatte wegkopiert, dann kann man später in aller Ruhe darauf zugreifen. Oder man greift die Daten ab, die über den Virtual Switch gehen (die mit Sicherheit nicht alle verschlüsselt sind)
Je nach Konfiguration kann es auch sein, dass man in Netze kommt, auf die man sonst über die VM keinen Zugriff hätte (es lassen sich ja problemlos diverse VLANs auf einem Hypervisor realisieren)
Darunter fällt auch das Management Netz und das Storage Network, da kann man schon ein paar Sachen anstellen

Gibt vieles was möglich ist, sobald der Hypervisor unter Kontrolle ist

 

[Toby-ch]

@d4nY

Hm das glaube ich dir nur ich glaube es sind vollkommen andere Produkt VMware Workstation und VMware ESXI ich glaube kaum das die selbe Lücke auch im ESXI vorhanden ist. dies währe ja eine mittlere Katastrophe.... ( oder möchte ich es nicht warhaben weil ich selber einen ESXI am laufen habe... )

schon reichen dass man sich die virtuelle Festplatte wegkopiert

Hm ich denke da gibt es Wege um dies zu verhindern... VHDS mit Bitlocker verschlüsseln oder eine Warnung bei einem hohen externen Traffic....

 

[engine]

Das Problem an der ganzen Geschichte ist, dass wir nichts darüber wissen.
Auf einem Typ-2 hypervisor (eher für privat) funktioniert obiger Angriff unter bestimmten Voraussetzungen.
Auf einem Typ-1 hypervisor wie VMware ESXi (ESX) (Rechenzentren usw.) könnte obiger Angriff unter bestimmten Voraussetzungen auch funktionieren, evtl. ganz anders und wie gesagt, wir wissen es erst, wenn es soweit ist.

 

[FrankvanLight]

Vergleichbare Lücken gab es auch bei ESXi schon öfters soweit ich weiß erst letztes Jahr.

 

[Toby-ch]

Hm das sollte man den ESXI eigentlich immer aktuell halten... habe noch 6.0 U2 HPE drauf da es einen Murks ist das zu Updaten und nicht richtig geht.
Ich denke in einer Produktiven Umgebung geht das auch nicht besser...

 

[d4nY]

Man sollte seine Software sowieso immer aktuell halten, aber du musst ja deswegen nicht gleich auf ein neues Feature-Level springen. Es gibt ja auch noch reine Bugfix/Sicherheitspatches für ältere (noch unterstützte) Versionen

Ist ja bei Windows das selbe, man muss ja nicht sofort auf das neuste Windows upgraden um aktuelle Sicherheitspatchen zu erhalten

 

[Evil E-Lex]

Hyper-V hat aktuell auch zwei solcher Schwachstellen, die mit dem März-Update gefixt wurden:
CVE-2017-0075
CVE-2017-0109

 

[Toby-ch]

Hyper-V hat aktuell auch zwei solcher Schwachstellen, die mit dem März-Update gefixt wurden:
CVE-2017-0075
CVE-2017-0109

Nja solche Komplexe Programme oder "Betriebsysteme" ( Hypervisor) kann mann schlicht weg nicht fehlerfrei Programmieren bzw. die sind mit zusätzlicher software ausgerüstet Treiber usw. da ist raz faz eine Lücke drin...

 

[Jeahaha]

In Rechenzentren oder auch schon in kleineren Firmen sollten die Server generell keinen Zugriff aufs Internet haben, und so wie ich das jetzt verstanden habe, zumal auch bei uns auf den wenigsten Servern Java installiert ist. Und wenn, die Server laufen ja dann eh meistens auf Hyper V oder ESXi

 

[d4nY]

Du hast entweder den Artikel nicht gelesen oder verstanden

Es geht darum dass man über ein Client-Betriebssystem über eine präparierte Website den Hypervisor angreifen kann. Da spielt es keine Rolle ob der Server selber abgeschottet ist oder nicht, weil man über die VM in auf den Server gelangt
Wie schon erwähnt, in Zeiten von VDI und Desktops-as-a-Service sind virtuelle Client-Betriebssysteme absolut keine Seltenheit und die sollen/müssen auch ins Internet. Ein Proxy sollte selbstverständlich dazwischen sein, aber wenn der Code in JavaScript ausgeführt wird (was btw rein gar nichts mit Java zu tun hat) dann wird sich der Proxy schwer tun so etwas zu erkennen

Und wie FrankvanLight und Evil E-Lex schon sagen, gibt es solche Lücken bei Bare-Metal Hypervisor auch

 

[poons]

Aus genau solchen Gründen liegen bei uns die Server mit sensiblen Daten in einer separaten vCenter Installation, wo keine VMs laufen, die aus dem Internet verfügbar sind. Selbst wenn VMware grad auch ESXi gepatcht hat, weiß man nie wo noch so eine Lücke schlummert ;-)

 

[Toby-ch]

@poons

Eine aufwendige Konfiguration aber immer noch die beste Lösung, nur wie hat mann dann zugriff auf die Daten?

 

[poons]

Man benötigt ja in den meisten Systemen nicht alle (Personen-)Daten, insofern wird von den Servern auf der separaten vCenter Umgebung immer nur das zu den Servern auf der anderen Umgebung provisioniert, was benötigt wird.
Bsp.:
Auf dem zentralen System liegen alle Personendaten inklusive Privatadresse, Mitarbeiter-Nummer, Konto-Nr., etc
Für einen AD o.ä. benötigt man im Regelfall aber meist nur Vor-/Nachname und ggf. die eindeutige Kennung des Benutzers, also wird auch nur das an den AD weitergereicht.