Sicherheit von Cloud-Angeboten: Ausbruch aus virtueller Maschine möglich?


Die gute Nachricht vorweg: Die Demo von McAfee-CTO George
Kurtz und seinem Kollegen Stuart McClure wird in der Praxis heute so nicht
funktionieren. Mehr hierzu am Ende dieses Beitrags.

 

Während der kürzlich zu Ende gegangenen RSA Conference zeigten
die IT-Sicherheitsexperten, wie sie in mehreren Schritten aus einer bei einem
erdachten Cloud-Provider gemieteten virtuellen Maschine (VM) ausbrachen und
dann den Host mit Schadsoftware infizierten – der GAU für jeden Cloud-Anbieter
und dessen Kunden.

 

Die grundsätzliche, von Kurtz und McClure aufgeworfene
Frage: Wer überwacht eigentlich, was Cloud-Kunden innerhalb ihrer VM treiben? Kontrolliert es der Provider? Muss
jeder Kunde selbst acht geben, dass seine Maschinen nicht angegriffen werden?

 

Der demonstrierte Angriff begann damit, dass die
vermeintlichen Angreifer ein Blog auftaten, das auf einer gehosteten Blog-Seite
betrieben wird – und anfällig ist für eine bekannte Schwachstelle. Durch deren
Missbrauch kann ein PHP-Skript hochgeladen werden, dass durch simples Verändern
der Datei-Endung als JPEG-Datei „getarnt“ wurde. Der Server führt das Skript
nach dem Hochladen aus und öffnet so eine Shell.

 

Mit deren Hilfe laden Kurtz
und McClure dann zwei weitere Dateien hoch: ein Phython-Skript und die
zw.shell. Letzteres ist das Remote Access Tool (RAT), das McAfee bei den unter
dem Codenamen Night Dragon bekannt gewordenen Angriffen auf die Öl-, Gas- und
Chemieindustrie entdeckt hat.
Im Fall des fiktiven Cloud-Anbieters funktioniert das alles auch mit den
Rechten des Users www-data (uid 33).

 

Aus der per PHP-Skript erzeugten Shell heraus führen die
Angreifer das Python-Skript aus. Dieses wiederum missbraucht eine der durch
Stuxnet bekannt gewordenen Schwachstellen (spoolss.dll). Hiermit lässt sich von
jedem Userkonto aus eine beliebige Datei irgendwo im Filesystem ablegen – in
diesem Fall die RAT-Malware zw.Shell. Einmal aufgerufen, verschafft zw.Shell
dem Angreifer volle Kontrolle über die VM.

 

Um aus der Gast-Umgebung auszubrechen und Zugriff auf den
zugrunde liegenden Host zu erlangen, bedienten sich die McAfee-Vertreter des
Cloudburst
getauften Angriffs
: Eine Lücke in VMware Works, VMware Player und auch im
Bare-Metal-Hypervisor VMware ESX kann missbraucht werden, um die virtuelle
Maschine zu verlassen und das Host-Betriebssystem zu übernehmen. Damit wäre
dann die letzte Stufe des Angriffs erreicht und die Experten hätten ihr Ziel
erreicht: Eine durch zw.Shell erzeugte Reverse Shell auf den eigentlichen
Server – und somit volle Kontrolle über sämtliche darauf laufenden VMs.

 

Warum der Konjunktiv? Warum ist ein solcher Angriff heute
nicht machbar? Zu aller erst hat Cloudburst (hoffentlich) keinerlei praktische
Konsequenzen mehr. Denn der Bug wurde schon 2009 entdeckt und von VMware auch
umgehend behoben.
Außerdem wurde Cloudburst in der Art, wie Kurtz und McClure es demonstrierten,
nie erfolgreich gegen einen Type-1-Hypervisor eingesetzt. Diese Art des
Hypervisors dürfte in den heute gängigen Cloud-Umgebungen aber vorherrschen.
Software-Hypervisor (Type 2) sind in professionellen Umgebungen aus
Performance-Gründen wohl nicht tauglich.

 

Außerdem halte ich es für äußerst unwahrscheinlich, dass ein
Cloud-Anbieter einen in Richtung Internet zeigenden Datenstrom aus der
Hypervisor-Managementumgebung zulässt. Es sollte sich für jeden seriösen
Anbieter verstehen, keinen Datentransfer vom Management-Interface des
Hypervisors gen Internet zuzulassen. Einzig zu einem internen
Management-Netzwerk sollten Daten fließen.

 

George Kurz und Stuart McClure gaben möglicherweise
besorgten Administratoren von Cloud-Infrastrukturen zudem den Ratschlag mit auf
den Weg, den DNS-Traffic der VMs zu überwachen. Den McAfee-Spezialisten zu
folge erzeugen RATs wie zw.Shell eine Menge auffälligen Datenverkehrs. Womit
einmal mehr belegt wäre, wie wichtig es ist, vorhandene Log-Files auch wirklich
genau zu analysieren.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)