Bittere Pille für Xen
Die Rootkit-Spezialistin Joanna Rutkowska befasst sich in ihrer Trilogie "0wning Xen" mit den Sicherheitsaspekten der Open-Source-Virtualisierungstechnik.
Rootkits und Virtualisierung sind Joanna Rutkowskas Steckenpferd. Auf der Black Hat demonstriert sie zusammen mit Alexander Tereshkin und Rafal Wojtczuk, wie man Xen auf vielfältige Art angreifen und missbrauchen kann.
So zeigen sie in der Trilogie 0wning Xen unter anderem, wie man über DMA Code in den Hypervisor einschleusen und mit dessen Ring-0-Rechten zur Ausführung bringen kann. Dies kulminiert in einem Hypervisor-Rootkit, dessen Existenz innerhalb der virtuellen Umgebungen so gut wie nicht nachzuweisen ist.
Der Höhepunkt des zweiten Vortrags ist eine Demonstration dessen, was ein Pufferüberlauf im Hypervisor bewirken kann. Durch ein ungesichertes sscanf() im Sicherheitsmodul FLASK kann Rutkowska aus einer unprivilgierten Umgebung (domU) heraus den Hypervisor kompromittieren. Allerdings ist das Modul standarmäßig nicht aktiv und der Fehler wurde bereits im Juli beseitigt. Der zusammen mit dem BIOS-Hersteller Phoenix entwickelte HyperGuard soll nicht autorisierten Code im Hypervisor aufspüren.
Mit Blue Pill hatte Rutkowska bereits öffentlichkeitswirksam ein Rootkit vorgestellt, das ein laufendes Windows in eine virtuelle Umgebung verschiebt – ohne Neustart und für den Anwender unsichtbar. Jetzt erweitert sie das Konzept auf Xen Blue Pill, das eine komplette Xen-Umgebung in ein virtuelles System verpflanzt – die Matrix in der Matrix sozusagen. Da bereits das saubere System unter einem Hypervisor lief, kann dessen Vorhandensein damit auch nicht mehr als Indiz einer Infektion gelten.
Auch wenn Rutkowska und ihr Team Sicherheitsprobleme im Zusammenhang mit Xen beleuchten, ist der Grundtenor eher positiv. So betonen sie in ihren Vorträgen mehrfach, dass Xen sich eigentlich ganz wacker schlägt. Die Vorträge illustrieren vielmehr eindrucksvoll, welche Gefahren mit der zukünftig immer intensiver genutzten Virtualisierung einhergehen. Deshalb sollte man sich bereits jetzt verstärkt um deren Auswirkungen auf die Sicherheit kümmern. Und genau das will Rootkit-Expertin wohl bewirken.
Siehe dazu auch:
(ju)
