Der rumänische Sicherheitsanbieter Bitdefender hat eine Schwachstelle in Public-Cloud-Infrastrukturen nachgewiesen, die es Dritten theoretisch erlaubt, mit dem Protokoll Transport Layer Security (TLS) verschlüsselte Kommunikation abzufangen. Zu Forschungszwecken hat er eine Technik namens TeLeScope entwickelt, die das Mitlesen des Datenverkehrs zwischen dem Endanwender und einer virtualisierten Serverinstanz ermöglicht.
TeLeScope funktioniert ausschließlich in virtualisierten Umgebungen, die auf einem Hypervisor laufen. Solche virtualisierten Infrastrukturen werden unter anderem von Amazon, Google, Microsoft und DigitalOcean angeboten. Von der Schwachstelle in hohem Maß betroffen können laut Bitdefender Regierungsorganisationen, Banken und Unternehmen sein, die mit geistigem Eigentum oder persönlichen Daten befasst sind.
Anstatt eine Sicherheitslücke im TLS-Protokoll auszunutzen, setzt die Angriffstechnik darauf, die TLS-Schlüssel auf Hypervisor-Ebene durch intelligentes Memory-Probing aufzuspüren. Während Zugriffsverfahren auf die virtuellen Ressourcen einer Virtuellen Maschine (VM) bereits bekannt sind – etwa durch den Zugriff auf die Festplatte der VM -, war es zuvor nicht gelungen, TLS-Traffic in Echtzeit zu entschlüsseln, ohne dabei den Betrieb der VM für eine wahrnehmbare Zeitspanne zu unterbrechen.
„Anstatt die Maschine pausieren zu lassen – was eine bemerkbare Latenz nach sich ziehen würde – und einen vollständigen Memory-Dump durchzuführen, entwickelten wir eine Memory-Diffing-Technologie und verwendeten dabei Stammfunktionen, die bereits in Hypervisor-Technologien vorhanden sind“, erklärt Caragea. „Obwohl damit der Dump bereits von Gigabytes auf Megabytes reduziert werden kann, ist die erforderliche Zeit, um diese Menge auf ein Speichermedium zu schreiben, immer noch nicht vernachlässigbar (im Bereich von wenigen Millisekunden). Wir können aufzeigen, wie es uns gelingt, den Prozess bei der Netzwerklatenz zusätzlich zu verschleiern, ohne den Betrieb der Maschine zu unterbrechen.“
Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.
Entdeckt wurde dieser Angriffsvektor als Bitdefender einen Weg suchte, bösartige Outbound-Aktivitäten auf seinem Honeypot-Netzwerk zu untersuchen, ohne dabei die Maschine zu beeinflussen und ohne dass Angreifer bemerken, dass sie beobachtet werden. Man habe sich dazu entschlossen, diesen Weg der Öffentlichkeit detailliert vorzustellen, da die sozialen, wirtschaftlichen und politischen Einsatzmöglichkeiten des passiven Traffic Monitorings in virtualisierten Umgebungen extrem groß seien, so das Sicherheitsunternehmen in einer Pressemitteilung. „Beispielsweise kann ein unzufriedener Server-Administrator mit Zugriff auf den Hypervisor des Host-Servers sämtliche Informationen, die vom Kunden kommen oder zu ihm fließen, beobachten, herausfiltern und zu Geld machen. Zu diesen Informationen gehören E-Mail-Adressen, Onlinebanking, Chats, persönliche Bilder und weitere private Daten.“
Unseriöse Cloud Provider oder Anbieter, die von Nachrichtendiensten dazu aufgefordert werden, könnten mit Angriffen dieser Art in den Besitz der TLS-Keys gelangen, die für die Verschlüsselung von Kommunikationssitzungen zwischen virtualisierten Servern und Kunden verwendet werden. Das gilt laut Bitdefender selbst dann, wenn Perfect Forward Secrecy (PFS) verwendet wurde.
Verantwortliche CIOs, die eine virtualisierte Infrastruktur an einen Drittanbieter ausgelagert haben, müssen daher davon ausgehen, dass sämtliche Informationen, die mit den Anwendern ausgetauscht werden, entschlüsselt und für unbestimmte Zeit lesbar sind. Da dieser Ansatz keinerlei forensische Spuren hinterlässt, erhalten sie auch keine Benachrichtigung darüber, ob und wann ein Kommunikationsfluss kompromittiert wurde.
Die Machbarkeitsstudie von Bitdefender deckt einen grundlegenden Fehler auf, der weder behoben noch entschärft werden kann, ohne dass die verwendeten Verschlüsselungsbibliotheken neu geschrieben werden müssen. Die aktuell einzige Schutzmöglichkeit besteht nach Aussage des Sicherheitsunternehmen darin, Zugriffen auf den Hypervisor vorzubeugen und eigene Hardware innerhalb der eigenen Infrastruktur zu betreiben. Sein Fazit lautet: „Wer nicht die Kontrolle über die Hardware besitzt, besitzt nicht die Kontrolle über die Daten.“
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…