Nyt sikkerhedshul åbner ladeport fra virtuelle servere over til værtsmaskinen
Et nyt sikkerhedshul gør det muligt at overtage kontrollen med en Intel-baseret server, næsten uanset hvilket styresystem man benytter. Det kan især være et problem i virtuelle miljøer, advarer amerikanske US-CERT.
Sikkerhedshullet rammer nemlig blandt andet Xen hypervisoren, hvor den kan udnyttes til at springe fra den virtuelle maskine og få systemadgang på værtsmaskinen.
»Hvis man lejer sig ind hos en udbyder, kan man udnytte det til at få adgang til at lege med de andre gæster på serveren og få adgang til andre folks data,« siger teknisk direktør Thomas Kristensen fra sikkerhedsfirmaet Secunia til Version2.
Sikkerhedshullet findes i 64 bit-versioner af flere styresystemer. Blandt andet i Windows, FreeBSD og Red Hat Linux. Til gengæld kan sikkerhedshullet ikke udnyttes, hvis man benytter en AMD- eller ARM-processor.
I ikke-virtuelle miljøer kan sikkerhedshullet blot udnyttes til at eskalere brugerens rettigheder. Det kan være slemt nok, men det kræver, at man i forvejen har adgang til serveren.
I virtuelle miljøer giver sikkerhedshullet større problemer, fordi man kan få adgang til mere end blot én bestemt server, men i princippet alle de virtuelle servere på samme fysiske maskine eller hypervisormiljø.
»Normalt vil man efterlade sig spor, hvis man har fået adgang til netværket, men her kan der gå lang tid, før man bliver opdaget,« siger Thomas Kristensen.
Et Intrusion Detection System overvåger nemlig trafikken via netværket mellem fysiske maskiner, men når serverne er samlet på en virtuel platform, vil en hackers aktivitet ikke være synlig for konventionel IDS, medmindre man specifikt overvåger værtsmaskinen.
Derfor kan sikkerhedshuller som dette være en alvorlig trussel for en serviceudbyder, men også i virksomheder, som har konsolideret deres servere.
»Det mest positive er, at der er lang vej ind til hypervisoren, så det vil være værdige modstandere, man er oppe imod,« siger Thomas Kristensen.
For at kunne udnytte sikkerhedshullet skal man nemlig have mulighed for som bruger at afvikle programkode på systemet, hvorefter man kan eskalere sine rettigheder.
Kommentarer (10)
Der er altså tale om en fejl i Intels CPU'er som operativsystemer er nødt til at lave work-arounds for, der er ikke tale om fejl i operativsystemerne.
For dem der har glemt historien:
Intel prøvede at presse Itanic ned i halsen på alle med deres monopol-kartel
AMD definerede 64-bit arkitekturen (kodenavn: "Hammer")
Intel begyndte modstræbende at kopiere 64-bit arkitekturen.
(spoler hurtigt frem til nu)
Intels kopi af 64-bit arkitekturen har en fejl.
Operativsystemer lavet et workaround, ligesom de har gjort for andre Intel-chip fejl, fra FDIV til F00F osv.
Fordi ingen ønsker at blive uvenner med Intel, omtaler advisories kun "non-AMD" cpus.
-
31 -
0
Gør dette sig også gældende for andre virtualiserings former som OpenVZ?
Det er da noget kritisk må man sige..
-
1
-
0
Hullet blev fundet af min kollega Rafal fra Bromium, jeg kan anbefale at man laeser beskrivelsen, det har ikke vaeret helt trivielt.
-
6
-
0
street_credit++ til Bromium. Men i følge http://permalink.gmane.org/gmane.comp.emulators.kvm.devel/92428 blev problemet allerede rettet i 2006, når det gælder KVM(?)
-
0
-
0
I denne sammenhæng svare løsniger som OpenVZ, Linux Vservers, FreeBSD Jails, Solaris Zones(?) osv. til et ikke-virtualiseret miljø da alle sandkasserne deler samme kerne som implementerer den nødvendige isolation.
Dermed er der "bare" taler om ekalation af brugerrettigheder (Hvis den formulering på nogen som helst måde giver mening...)
-
1
-
0
Meget enig med Poul-Henning.
Jeg tror f.eks. ikke, at en Mainframe er speciel sårbar over for det her 'hul'.
Men det viser jo lidt om, hvordan opfattelsen af IT er i dag.
// Jesper
-
3
-
2
Hvis nogen skulle opleve problemet med XenServer, henviser Citrix til denne side http://support.citrix.com/article/CTX133161, der forklarer mere om, hvordan du bør forholde dig, og hvad du bør gøre for at løse problemet.
//Christian Eilskov (Citrix)
-
1
-
0
Tilføj kommentar
