Heutzutage bekommt, wer sich bei einem Webhoster einen Server mietet, eine von mehreren Virtuellen Maschinen (VM) zugewiesen. Ein Hypervisor managt, damit die VMs auf einem Host-System voneinander abgeschottet laufen, den paralellen Betrieb. In verschiedenen Hypervisors könnten Angreifer über die Venom-Sicherheitslücke (CVE-2015-3456) aus einer VM ausbrechen, das Host-System übernehmen und von da aus aus anderen VMs Daten abgreifen. Der Sicherheitsforscher Jason Geffner von CrowdStrike schildert das in seinem Bericht.

Die Schwachstelle ist Geffner zufolge im Code für den Floppy-Disk-Controller der Hypervisors QEMU, KVM und Xen zu finden. Ein Angreifer könne über einen Pufferüberlauf dabei eigenen Code ausführen. VMware, Bochs und Microsoft Hyper-V sollen allerdings nicht betroffen sein. Aus dem Bericht geht nicht hervor, ob Orcale's VirtualBox gefährdet ist. Da die Lücke im Code des jeweiligen Hypervisors zu finden ist, sind alle Betriebssysteme, auf denen ein verwundbarer Hypervisor läuft, betroffen. Für Xen und QEMU sind bereits Sicherheits-Updates, die der Admin des Host-Systems einspielen muss, verfügbar.

Ein Angreifer müsse, um den Exploit auszuführen, in seiner VM über Admin-Rechte verfügen. Ein Angriff über eine Malware sei alternativ aber auch vorstellbar. Noch hat man Geffner zufolge keine Attacken dieser Art beobachtet. Bereits im Jahr 2004 wurde der verwundbare Floppy-Disk-Controller in den Programmcode von QEMU aufgenommen.

Der Treiber gehört, obwohl heutzutage niemand mehr Floppies verwendet, nach wie vor zur Standard-Konfiguration der betroffenen VMs.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE