Venom: Kritische Sicherheitslücke in Virtualisierungssoftware bedroht Rechenzentren

Der Sicherheitsforscher und Crowdstrike-Mitarbeiter Jason Geffner hat eine kritische Sicherheitslücke in Virtualisierungssoftware namhafter Anbieter entdeckt, die wiederum in zahlreichen Rechenzentren zum Einsatz kommt. Die Venom genannte Schwachstelle erlaubt es einem Angreifer, eine virtuelle Maschine zu verlassen und Zugang zum Host-System zu erhalten. Er könnte von dort aus zudem in andere virtuelle Maschinen eindringen und vertrauliche Daten stehlen.

Der Fehler an sich steckt offenbar schon seit elf Jahren im virtuellen Floppy Disk Controller (FDC), der vom Open-Source-Emulator QEMU verwendet wird. Davon sind unter anderem die Virtualisierungsplattformen Xen, KVM, Virtualbox und natürlich der native QEMU-Client betroffen. VMware, Microsofts Hyper-V und der Bochs-Hypervisor sind jedoch nicht anfällig. Laut Crowdstrike stellt die Lücke ein Risiko für tausende Unternehmen und Millionen von Endnutzern dar.

Obwohl Floppy-Laufwerke schon seit vielen Jahren nicht mehr benutzt werden, wird der virtuelle Floppy Disk Controller doch ab Werk zu vielen virtuellen Maschinen hinzugefügt. Das Gastbetriebssystem kommuniziert über einen Input/Output-Port mit dem FDC, der zugleich prüft, wie viele Daten er erhalten soll. Hat er die erwarteten Daten erhalten, führt er den Befehl aus und leert den Puffer für die nächste Übertragung.

Venom erlaubt es einem Angreifer, die Befehle mit einem bestimmten Parameter zu senden. Der wiederum löst einen Pufferüberlauf aus, was anschließend das Einschleusen und Ausführen von Schadcode erlaubt.

Crowdstrike zufolge ist Venom nicht die erste Anfälligkeit, die dazu führt, dass ein Angreifer eine virtuelle Maschine verlassen kann. Es sei aber das erste Mal, dass virtuelle Maschinen in der Ausgangskonfiguration angreifbar seien – bisher seien nur nicht voreingestellte Konfigurationen oder gar als unsicher geltende Einstellungen anfällig gewesen. Zudem betrifft Venom nicht nur eine, sondern mehrere Virtualisierungsplattformen.

Geffner hält Venom sogar für gefährlicher als die im vergangenen Jahr gemeldete Heartbleed-Lücke in der Verschlüsselungssoftware OpenSSL. „Heartbleed lässt einen Bösewicht durch das Fenster eines Hauses schauen und die Informationen sammeln, die er sieht“, sagte Geffner in einem Telefoninterview mit ZDNet USA. „Venom erlaubt es einer Person, nicht nur in ein Haus einzubrechen, sondern auch in jedes andere Haus in der Nachbarschaft.“

Symantec schließt sich dieser Einschätzung jedoch nicht an. „Heartbleed betraf sehr viele Websites, Anwendungen, Server, VPNs und Netzwerk-Applikationen. Venom betrifft nur Virtualisierungssysteme die speziell QEMUs Floppy Disk Controller verwenden und hat keine Auswirkungen auf einige der am weitesten verbreiteten VM-Plattformen.“

Für Betreiber anfälliger Systeme, die darauf „kritische Dienste mit vielen vertraulichen Daten ausführen“, sei ein Angriff aber möglicherweise verheerend, so Symantec weiter. Venom erlaube es einem Angreifer, viel mehr zu tun als Heartbleed, dafür sei die Zahl der betroffenen Systeme geringer, weswegen der Bug im Ganzen betrachtet weniger gefährlich sei.

Ähnlich sieht es die auf Netzwerksicherheit spezialisierte Firma Tenable. „Diese Schwachstelle kann eine Gefahr darstellen, solange sie nicht gepatcht wurde. Allerdings müssen Angreifer dazu Admin- oder Root-Rechte im Root-OS besitzen, und bisher ist noch kein derartiger Fall bekannt. Es gab zwar schon einiges Getöse um CVE 2015-3456, allerdings liegen noch keine Belege dafür vor, dass die Auswirkungen tatsächlich so groß sind, wie der Hype vermuten lässt.“

Crowdstrike hat die Lücke nach eigenen Angaben Ende April vertraulich an die betroffenen Hersteller gemeldet. Laut Karl Sigler, Thread Intelligence Manager bei Trustwave, sind bisher keine Angriffe auf die Schwachstelle bekannt. Zudem haben viele Anbieter inzwischen Patches für ihre Produkte bereitgestellt. Xen hat die Lücke beispielsweise in der Version 4.2x oder höher seines Hypervisors geschlossen. Oracle will sie in Kürze mit dem Wartungsupdate Virtualbox 4.3 beseitigen.

[mit Material von Steve McCaskill, TechWeekEurope, und Zack Whittaker, ZDNet.com]