So belauschen virtuelle Maschinen ihre Nachbarn

18. November 2015, 13:23
  • security
  • cyberangriff
image

Grundlegende Eigenschaft von virtuellen Maschinen kann ausgenutzt werden.

Sicherheitsexperten haben einen Angriff in der Cloud demonstriert. Nicht etwa über eine spezifische Lücke, sondern über eine grundlegende Eigenschaft von virtuellen Maschinen.
Security-Forscher haben vergangene Woche einen Angriff in der Cloud präsentiert. Der Angriff wurde von Antonio Barresi, Mitgründer des Schweizer Security-Startups Xorlab, und dem Sicherheitsforscher der Universität Amsterdam, Daveh Razavi, an der Konferenz Black Hat Europe in Amsterdam erklärt.
Hintergrund, so ein Whitepaper, sei die Tatsache, dass Systeme in Public-Clouds nicht nur Angriffen von aussen ausgeliefert sind. Angriffe können auch durch bösartige Nachbarn geschehen, deren virtuelle Maschinen (VMs) auf der selben Hardware laufen. Zudem bedeutet die Schwachstelle eines Nachbars eine Angriffsfläche respektive ein Sicherheitsrisiko für alle VMs, die auf der Hardware laufen. Für den demonstrierten Angriff hatten die Forscher User-Rechte für eine VM und haben eine benachbarte VM angegriffen.
Deduplizierung ausgenutzt
In VMs werden zum Teil mehrere Instanzen des gleichen Betriebssystems ausgeführt, teils mit der gleichen Software, was zu mehreren Kopien der Daten führt. Um diese Verschwendung zu verhindern, werden Techniken eingesetzt, die diese Daten in VMs "de-duplizieren". So werden Speicherseiten (Memory Pages) gemeinsam verwendet und auf der Harddisk Speicherblöcke von den verschiedenen VMs geteilt.
Die Deduplizierung führt zu besseren Margen bei den Anbietern, denn es können mehr VMs auf den selben physikalischen Host gepackt werden. Diese Funktionalität wird von gängigen Virtualisierungslösungen wie KVM, VMware oder VirtualBox angeboten. Vor allem Linux basierte Virtualisierungsplattformen, die KVM verwenden, sind gemäss den Forschern oft davon betroffen, da die Funktionalität "Kernel-same page merging" (KSM) standardmässig aktiviert ist.
Gemäss den Forschern kann erkannt werden, wann ein Speicherblock oder eine Speicherseite gemeinsam verwendet wird. Dies ist der Fall, weil die geteilte Seite als "read-only" markiert ist und bevor diese beschrieben werden kann, wird eine Kopie ("copy-on-write") erstellt. Der Vorgang dauert merklich länger, als einen Block zu beschreiben, der nicht geteilt wird. Ein Angreifer kann demnach die Zeit messen, die benötigt wird um etwas zu schreiben, und so herausfinden, ob eine Seite mit anderen VMs geteilt wird oder nicht.
Der Angriff erlaubt es die Adressverwürfelung (Address-Space Layout Randomization, ASLR) innerhalb von Stunden zu umgehen, schreiben die Forscher. Angriffe auf virtuellen Linux Maschinen dauern länger aufgrund der besseren ASLR-Implementation in Linux Systemen. Nicht alle Seiten können so angegriffen werden. Sie müssen gewisse Kriterien erfüllen, wie die Autoren ausführen. Doch gebe es durchaus Seiten, die sich eignen. Etwa erfülle in Windows-Systemen die erste Seite ausführbarer Dateien (PortableExecutable-, PE-Format) die nötigen Kriterien.
"Kritischer, als auf den ersten Blick"
Antoio Baressi von Xorlab sagt, dass der Angriff viel kritischer ist, als er auf den ersten Blick scheine. "Wir haben gezeigt, dass es möglich ist, den Memory Duplication Side-Channel von einer virtuellen Maschine aus so auszunutzen, dass eine Kernsicherheitsfunktionalität, ASLR, in einer anderen VM umgangen werden kann". Der Angriff sei zudem sehr generisch und könne auch so genutzt werden, dass vertrauliche Informationen aus anderen VMs extrahiert werden können, führt Kaveh Razavi aus.
Höhere Kosten in den Kauf nehemn
Gemäss den Autoren konnte der Angriff in KVM-Systemen, mit Ubuntu-Server und Linux Kernel, verifiziert werden. Auch ein Angriff auf Windows Server 2012 Datacenter haben sie verifiziert. Die Forscher gehen zudem davon aus, dass die meisten Windows-Systeme (32bit und 64bit) angreifbar seien.
Da es sich hierbei nicht um eine spezifische Lücke halte, könne die auch nicht einfach gefixt werden. Vielmehr gehe es um eine grundlegende Eigenschaft von virtuellen Maschinen. Die beiden Forscher empfehlen somit Memory Deduplication zu deaktivieren, wenn in einer Umgebung Angriffe von benachbarten VMs zu befürchten sind. Dies sei in Public-Cloud-Umgebungen der Fall. Die Deaktivierung führt jedoch dazu, dass die Hardware-Ressourcen nicht gleich effizient genutzt werden können, was wiederum höhere Betriebskosten verursachen könne.
Betreiber von virtualisierten Umgebungen und Clouds sollten deshalb überprüfen, ob ihre Virtualisierungssoftware Memory Deduplication aktiviert hat. Der Angriff sei ausserdem umso einfacher, je geringer die ASLR-Implementation ist. (kjo)
Bild Startseite: IDuke Lizenz.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022
image

MFA kommt erst langsam in Firmen an

Die Zahl der Unternehmen, die Multifaktor-Authentifizierung für Angestellte implementieren, steigt einem Report von Thales zufolge nur langsam.

publiziert am 22.9.2022
image

Uraltlücke auf Python bedroht über 350'000 Projekte

Eine seit 2007 bekannte Schwachstelle ermöglicht in quelloffenen wie Closed-Source-Projekten die Ausführung von Schadcode durch Überschreiben von Dateien.

publiziert am 22.9.2022