/ Security / VM-Ausbruch möglich: Patches für Hypervisor Xen

VM-Ausbruch möglich: Patches für Hypervisor Xen

121224111_6eddfa9131-41f1163a519e98f0.jpeg
Moritz Rosenfeld on May 6, 2017 - 6:00 pm in Security

Im freien Hypervisor Xen finden sich Sicherheitslücken, die auf subtile Weise das Ausbrechen aus virtuellen Maschinen ermöglichen. Xen steckt als Basis in diversen Virtualisierungs- und Cloud-Diensten. Patches sind bereits erhätlich.

Insgesamt drei Lücken im freien Hypervisor Xen, über die die Entwickler am 2. Mai öffentlich informiert haben, ziehen jetzt eine Patch-Welle nach sich: Für Oracles VM 3.2 bis 3.4, Suse Linux Enterprise und Suse OpenStack Cloud sind Updates erhältlich. Den Weg zu den jeweiligen Patches weisen die Kurzinfos des BSI Cert Bund CB-K17/0749 und CB-K17/0734. Die Kurzinfo CB-K17/0735 verweist auf die Xen Advisories.

Paravirtualisierter Gast kann Speicherschutz aushebeln

Die möglichen Ausbruchsszenarien sind nicht trivial, aber eben doch umsetzbar: Eine besteht darin, dass sich der Hypervisor bei Wechseln zwischen User- und Kernel-Mode unter bestimmten Umständen verhaspelt und dem Gastsystem Schreibzugriff auf die Page Tables gewährt – letztlich also auf Informationen der prozessoreigenen Speichervirtualisierung, die üblicherweise Prozesse und VMs voneinander abschirmt. Damit kann ein böswilliger Gast sich mehr Privilegien verschaffen, Daten erspähen oder den Wirt abstürzen lassen.

Probleme beim Wechsel von 32- auf 64-Bit

Während dieses Problem nur paravirtualisiert betriebene 64-Bit-Gastsysteme betrifft, betreffen die beiden anderen Lücken auch 32-Bit-Systeme. Bei der einen birgt eine Funktion zum Austausch von Speicherseiten die Schwachstelle: Wechseln die von einer 32- in eine 64-Bit-VM werden deren Eigenschaften nicht ordentlich zurückgesetzt, paravirtualisierte VMs erhalten Zugriff auf Verwaltungsinformationen, die sie nicht sehen sollten. Vollvirtualiserte VMs können diese manipulieren und zurückgeben.

Die Konsequenzen sind ähnlich wie bei der ersten Lücke: Privilegänderungen, Datenlecks oder Abstürze des Wirts. Allerdings muss ein Angreifer hierfür nicht nur eine VM im Griff haben, sondern muss diese Aktivitäten zwischen zwei VMs koordiniert ausführen. Da die Angriffe voraussetzen, dass Code in den Kernel der VM geladen wird, gelten VMs als sicher, deren Kernel nicht Teil der VM ist und die das Nachladen von Modulen unterbinden. Wirtssysteme, die nur eine Sorte VMs betreiben, also nur 32- oder 64-Bit beziehungsweise nur voll- oder paravirtualiserte (HVM/PVM), gelten ebenfalls als sicher. (ps)

Read more on: Source

Comments are disabled