Cloud-Sicherheit: Ist ein Ausbruch aus der virtuellen Maschine möglich?
Die gute Nachricht vorweg: Die Demo von McAfee-CTO George Kurtz und seinem Kollegen Stuart McClure wird in der Praxis heute so nicht funktionieren. Mehr hierzu am Ende dieses Beitrags.
Die beiden IT-Sicherheitsexperten zeigten auf der RSA Conference, wie sie in mehreren Schritten aus einer bei einem erdachten Cloud-Provider gemieteten virtuellen Maschine (VM) ausbrachen und dann den Host mit Schadsoftware infizierten – der GAU für jeden Cloud-Anbieter und dessen Kunden.
Die grundsätzliche, von Kurtz und McClure aufgeworfene Frage: Wer überwacht eigentlich, was Cloud-Kunden innerhalb ihrer VM treiben? Kontrolliert es der Provider? Muss jeder Kunde selbst acht geben, dass seine Maschinen nicht angegriffen werden?
Der demonstrierte Angriff begann damit, dass die vermeintlichen Angreifer ein Blog auftaten, das auf einer gehosteten Blog-Seite betrieben wird – und anfällig ist für eine bekannte Schwachstelle. Durch deren Missbrauch kann ein PHP-Skript hochgeladen werden, dass durch simples Verändern der Datei-Endung als JPEG-Datei getarnt wurde. Der Server führt das Skript nach dem Hochladen aus und öffnet so eine Shell.
Mit deren Hilfe laden Kurtz und McClure dann zwei weitere Dateien hoch: ein Phython-Skript und zw.Shell. Letzteres ist das Remote Access Tool (RAT), das McAfee bei den unter dem Codenamen Night Dragon bekannt gewordenen Angriffen auf die Öl-, Gas- und Chemieindustrie entdeckt hat. Im Fall des fiktiven Cloud-Anbieters funktioniert das alles auch mit den Rechten des Users www-data (uid 33).
Aus der per PHP-Skript erzeugten Shell heraus führen die Angreifer das Python-Skript aus. Dieses wiederum missbraucht eine der durch Stuxnet bekannt gewordenen Schwachstellen (spoolss.dll). Hiermit lässt sich von jedem Userkonto aus eine beliebige Datei irgendwo im Filesystem ablegen – in diesem Fall die RAT-Malware zw.Shell. Einmal aufgerufen, verschafft zw.Shell dem Angreifer volle Kontrolle über die VM.
Um aus der Gast-Umgebung auszubrechen und Zugriff auf den zugrunde liegenden Host zu erlangen, bedienten sich die McAfee-Vertreter eines Cloudburst getauften Angriffs: Eine Lücke in VMware Works, VMware Player und auch im Bare-Metal-Hypervisor VMware ESX kann missbraucht werden, um die virtuelle Maschine zu verlassen und das Host-Betriebssystem zu übernehmen. Damit wäre dann die letzte Stufe des Angriffs erreicht und die Experten hätten ihr Ziel erreicht: Eine durch zw.Shell erzeugte Reverse Shell auf den eigentlichen Server – und somit volle Kontrolle über sämtliche darauf laufenden VMs.
Warum der Konjunktiv? Warum ist ein solcher Angriff heute nicht machbar? Zu allererst hat Cloudburst (hoffentlich) keinerlei praktische Konsequenzen mehr. Denn der Bug wurde schon 2009 entdeckt und von VMware auch umgehend behoben. Außerdem wurde Cloudburst in der Art, wie Kurtz und McClure es demonstrierten, nie erfolgreich gegen einen Type-1-Hypervisor eingesetzt. Diese Art des Hypervisors dürfte in den heute gängigen Cloud-Umgebungen aber vorherrschen. Software-Hypervisor (Type 2) sind in professionellen Umgebungen aus Performance-Gründen wohl nicht tauglich.
Außerdem halte ich es für äußerst unwahrscheinlich, dass ein Cloud-Anbieter einen in Richtung Internet zeigenden Datenstrom aus der Hypervisor-Managementumgebung zulässt. Es sollte sich für jeden seriösen Anbieter verstehen, keinen Datentransfer vom Management-Interface des Hypervisors gen Internet zuzulassen. Einzig zu einem internen Management-Netzwerk sollten Daten fließen.
George Kurz und Stuart McClure gaben möglicherweise besorgten Administratoren von Cloud-Infrastrukturen zudem den Ratschlag mit auf den Weg, den DNS-Traffic der VMs zu überwachen. Den McAfee-Spezialisten zufolge erzeugen RATs wie zw.Shell eine Menge auffälligen Datenverkehr. Womit einmal mehr belegt wäre, wie wichtig es ist, vorhandene Log-Files auch wirklich genau zu analysieren.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem Blog veröffentlicht er alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. Wer sofort an Neuigkeiten zu Updates kommen will, der folgt am Besten dem deutschsprachigen Microsoft-Sicherheitsaccount bei Twitter (@MS_Sicherheit). Außerdem bloggt Michael Kranawetter über IT-Sicherheitsthemen von allgemeinem Interesse. Direkt mit dem Deutschland-CSA in Kontakt treten können IT-Sicherheitsinteressierte über die Facebook-Gruppe.