Was Sie über die Virtualisierungs-Sicherheitslücke VENOM wissen müssen

20 Mai 2015

Viel wurde zur VENOM-Sicherheitslücke, dem neuesten einer ganzen Reihe von Fehlern, die die Sicherheit des gesamten Internet bedrohen, gesagt. Es handelt sich dabei um einen alten Fehler der relativ jungen Virtualisierungstechnik.

Virtuelle Maschinen sind unabhängig nutzbare Computer innerhalb von Computern. Die so genannte Cloud ist ebenfalls nur ein riesiges Netzwerk virtueller Maschinen. Und nun könnte ein Angreifer VENOM ausnutzen, um aus einer virtualisierten Umgebung auszubrechen und Code in einer anderen auszuführen.

Sin título

Enthusiastischere, oder vielleicht sensationshungrigere, Journalisten haben VENOM als schlimmere Bedrohung als die berüchtigte Heartbleed-OpenSSL-Lücke bezeichnet. Die meiner Meinung nach beste Antwort dazu kam wohl von dem bekannten Sicherheitsforscher Dan Kaminsky.

In der heutigen Sicherheitsbranche wird jedem großen Fehler ein eigener, Hashtag-geeigneter Name gegeben, er bekommt ein eigenes Logo und ein PR-Team, das wieder einmal die schlimmste Sicherheitslücke alle Zeiten ausruft.

„Ich denke, dass wir etwas verloren haben, als wir zu diesen linearen Ranglisten mit Fehlern gegen Fehler übergangen sind“, sagte Kaminsky beim Threatpost Digital Underground Podcast. „Hier geht es nicht um Iron Man gegen Captain America. Das sind nicht die verdammten Avengers; hier geht es um Wissenschaft.“

In der heutigen Sicherheitsbranche wird jedem großen Fehler ein eigener, Hashtag-geeigneter Name gegeben, er bekommt ein eigenes Logo und ein PR-Team, das wieder einmal die schlimmste Sicherheitslücke alle Zeiten ausruft.

„Schlimme Fehler kommen vor“, erklärt Kaminsky weiter. „Sie sind immer noch schlecht, aber wir machen weiter und handeln entsprechend… Da war ein großes Problem, wir sind hingegangen und haben es gelöst. Die Dinge waren viel schlimmer; wir sind privat herumgegangen und haben alles getan, das wir auf privater Ebene tun konnten, und nun sprechen wir öffentlich darüber, damit auch der Rest erledigt wird. Das ist, was wir machen. Das ist das Spiel in dem wir mitspielen.“

Das soll nicht den Ernst der Lage bei VENOM herunterspielen, denn die ist ziemlich ernst. Virtualisierung und virtuelle Maschinen spielen eine immer kritischere und wichtigere Rolle im modernen Internet. Virtuelle Maschinen ermöglichen Cloud Computing, auf das sich unsere Service-Provider mehr und mehr verlassen – vor allem aus Kostengründen, da es günstiger ist virtuellen Speicherplatz zum Beispiel bei Amazon zu kaufen, als eigene Server zu betreiben. Durch die Sicherheitslücke kann ein fähiger Angreifer Speicherplatz von einem Cloud-Anbieter kaufen, seiner eigenen virtuellen Umgebung, für die er bezahlt hat, entkommen und auf jede andere virtuelle Maschine übergreifen, die unter dem gleichen Host läuft.

Darüber hinaus könnte der Fehler auch Auswirkungen auf Virenlabors haben. Die meisten Schadprogramm-Analysten infizieren virtuelle Maschinen in einer sicheren, abgeschotteten Umgebung mit Schadprogrammen, um feststellen zu können, wie die Schädlinge funktionieren. VENOM hat aber das Potenzial, die Schadprogramme aus dieser Quarantäneumgebung entkommen und auf andere Computer übergreifen zu lassen.

Wie schon gesagt, ist der Fehler bereits älter. Tatsache ist, dass er im virtuellen Disketten-Controller populärer Virtualisierungsplattformen zu finden ist. Ja, Sie haben richtig gelesen: Disketten. Sagen Sie uns ruhig in den Kommentaren, wann Sie zuletzt eine Diskette benutzt oder ein Diskettenlaufwerk an einem funktionierenden Computer gesehen haben.

In einem früheren Interview mit Threatpost sagte Kaminsky, dass VENOM eine Art Pay-to-Play-Fehler ist. Ein Angreifer kann sich Cloud-Speicher von einem Anbieter kaufen und dann VENOM ausnutzen, um lokale Rechte innerhalb des Cloud-Speichers seines Opfers beim gleichen Anbieter zu erlangen. Bestimmte Cloud-Anbieter bieten laut Kaminsky aber erweiterte Hardware-Isolierung als Premiumangebot. Der Forscher empfiehlt, diesen Preis zu zahlen, um potenzielle Angreifer von vorneherein abzuwehren.

VENOM, das übrigens für Virtualized Environment Neglected Operations Manipulation steht, wurde von Jason Geffner, einem Senior Security Researcher bei CrowdStrike entdeckt.

Wir Anwender können – wie so oft – nicht viel für unseren Schutz vor VENOM tun, außer zu hoffen, dass unsere Cloud-Anbieter und andere Virtualisierungsfirmen das Problem so schnell wie möglich lösen. Die gute Nachricht ist aber, dass die meisten von VENOM betroffenen Anbieter bereits einen Patch für das Problem installiert haben und ein neuer Proof-of-Concept gezeigt hat, dass es sogar schwerer ist, VENOM auszunutzen, als zunächst angenommen.

Aus Sicht des normalen Internetnutzers zeigt VENOM vor allem, wie allgegenwärtig Virtualisierung im Internet heute ist.