03/06/2015

Wszystko, co musisz wiedzieć o luce w środowiskach wirtualnych – VENOM

Informacje Porady

Wiele już powiedziano o luce luce VENOM, najnowszym błędzie dotyczącym wielu obszarów internetu. To stara luka relatywnie nowego zjawiska – wirtualizacji.

Maszyna wirtualna to niezależnie działający komputer w komputerze. Tak zwana chmura to zwyczajnie ogromna sieć maszyn wirtualnych. Atakujący może wykorzystać VENOM-a do wydostania się z jednego środowiska wirtualnego oraz uruchomienia kodu w innym.

Venom

Niektórzy dziennikarze stwierdzili, że VENOM jest bardziej niebezpieczny niż niesławna luka OpenSSL  -Heartbleed. Jednak myślę, że najlepiej posłuchać szanowanego badacza bezpieczeństwa, Dana Kaminsky’ego.

Tak to już jest w branży bezpieczeństwa, że każda poważna luka otrzymuje unikatową nazwę oraz logo, a niektórzy ludzie pełnią rolę piarowców i głoszą wokół, że to najgorsza luka ze wszystkich wykrytych

„Myślę, że jeśli ktoś tworzy ranking luk, to chyba stracił zdrowy rozsądek” – powiedział Kaminsky Dennisowi Fisherowi na Threatpoście. „To nie jest walka między Iron Manem a Kapitanem Ameryką. To nie są Avengersi, to jest nauka”.

Tak to już jest w branży bezpieczeństwa, że każda poważna luka otrzymuje unikatową nazwę oraz logo, a niektórzy ludzie pełnią rolę piarowców i głoszą wokół, że to najgorsza luka ze wszystkich wykrytych.

„Luki się zdarzają” – wyjaśnia Kaminsky w swoim podcaście. „Wciąż są niepożądane, ale stawiamy czoło wyzwaniu i dajemy im radę… To był duży problem, ale rozwiązaliśmy go. Bywało gorzej. Powęszyliśmy prywatnie i zrobiliśmy wszystko, co mogliśmy, a teraz mówimy o tym publicznie, aby zakończyć tę sprawę. Dokładnie tego chcemy”.

Nie chodzi o to, aby bagatelizować zagrożenie, jakie stwarza VENOM, ponieważ nie jest ono takie małe. W nowoczesnym internecie wirtualizacja i maszyny wirtualne są coraz częściej punktem newralgicznym, a przy tym odgrywają ważną rolę. Maszyny wirtualne umożliwiają obliczenia w chmurze, na której nasi dostawcy usług polegają bardziej niż kiedykolwiek. Dzieje się tak głównie dlatego, że wykupienie przestrzeni wirtualnej od, powiedzmy, Amazona jest tańszym rozwiązaniem, niż uruchomienie własnej farmy serwerów. Atakujący może więc kupić przestrzeń od dostawcy serwera w chmurze, opuścić wykupione środowisko wirtualne i przejść do jakiejś innej maszyny wirtualnej działającej na tym samym hoście.

Ponadto ze wspomnianej luki mogą korzystać testerzy szkodliwego oprogramowania. Większość analityków malware’u specjalnie infekuje maszyny wirtualne szkodliwym programem, ponieważ mogą wtedy sprawdzić, jak działa on w bezpiecznym środowisku poddanym kwarantannie. VENOM potrafi wydobyć szkodnika z kwarantanny i umieścić go w innych połączonych obszarach obliczeniowych.

Jak już wspomnieliśmy, luka jest stara. Istnieje ona w komponencie kontrolera wirtualnej napędu dyskietek, który jest umieszczony w wielu popularnych platformach do wirtualizacji. Tak, dobrze przeczytaliście: chodzi o dyskietki. Możecie śmiało komentować, kiedy ostatnio używaliście jakiejś, albo chociaż widzieliście ją.

W wywiadzie opublikowanym przed podcastem Kaminsky powiedział, że VENOM to coś w rodzaju luki pay-to-play (zapłać, aby korzystać). Atakujący może kupić od dostawcy przestrzeń w chmurze i wykorzystać VENOM-a do uzyskania lokalnych uprawnień w przestrzeni ofiary, będącej klientem tego samego dostawcy. Ponadto ekspert dodał, że niektóre firmy zajmujące się usługą chmury posiadają ofertę premium, zapewniającą większą izolację sprzętu. Według Kaminsky’ego warto zapłacić za konto premium, aby ubiec potencjalnych atakujących.

VENOM, czyli Virtualized Environment Neglected Operations Manipulation, został odkryty przez Jasona Geffnera, starszego badacza bezpieczeństwa w CrowdStrike.

Użytkownicy nie mogą nic zrobić, aby się ochronić przed tym zagrożeniem i – jak to często bywa w takich przypadkach – pozostaje nam tylko mieć nadzieję, że nasze usługi chmury oraz inni dostawcy wirtualizacji naprawią problem tak szybko, jak będzie to możliwe. Dobre wiadomości są dwie. Pierwsza to taka, że dostawcy, których dotyczy problem, mają już łatę. A druga – nowy dowód koncepcji (ang. proof-of-concept) pokazał, że trudniej jest wykorzystać VENOM-a, niż początkowo uważali eksperci.

Jako codzienny użytkownik internetu myślę, że dobrym wnioskiem w tej historii jest uświadomienie sobie, jak wszechobecna jest już wirtualizacja online w 2015 roku.