Infos

Un « empoisonnement » qui pourrait entraîner une évasion de la machine virtuelle et le vol de données.

Une vulnérabilité a été découverte dans un composant discret présent sur de nombreuses plateformes virtuelles. Elle permet à l’attaquant de s’échapper de la machine virtuelle et d’exécuter du code sur la machine hôte ainsi que sur d’autres machines virtuelles dans cet environnement. D’après les experts, cette faille concerne un large éventail de solutions de virtualisation sous les systèmes d’exploitation les plus populaires.

Afin de pouvoir exploiter cette vulnérabilité, le pirate doit simplement solliciter des services d’hébergement Cloud auprès d’un prestataire. Il pourra alors utiliser la vulnérabilité pour sortir de sa machine virtuelle et accéder à n’importe quelle autre machine virtuelle chez l’hôte. L’attaquant pourrait même s’introduire dans le réseau local auquel appartient l’hôte et accéder ainsi aux données confidentielles qui y sont conservées. Ce bogue dangereux a été détecté par Jason Geffner, expert des études sur la sécurité de l’information chez CrowdStrike.

La vulnérabilité se trouve dans le contrôleur virtuel de disquette (FDC) qui appartient à QEMU, un ensemble d’outils d’émulation dont le code source est ouvert. On retrouve se composant vulnérable dans différentes solutions de virtualisation, dont Xen et KVM et les hébergeurs qui utilisent ces plateformes représentent la cible la plus importante des attaquants. Vu la tendance à la migration des ressources de l’entreprise vers le Cloud, les dégâts potentiel liés à l’exploitation d’une vulnérabilité vieille d’une décennie pourraient être considérables.

« Une attaque de ce genre requiert des investissements : en général, l’individu malintentionné doit simplement trouver le code d’exploitation qui lui convient, mais dans ce cas précis, il doit payer s’il souhaite obtenir certaines autorisations locales » explique Dan Kaminsky, co-fondateur de White Ops. Il poursuit : « Le code qui permet d’isoler les machines virtuelles est très répandu, mais comme tous les codes, il a des faiblesses. De nombreux services d’hébergement Cloud proposent de renforcer l’isolement du matériel afin que les clients puissent réduire les communications ouvertes entre les machines virtuelles au minimum, à savoir seulement au sein des limites de leur organisation. Si on vous propose un tel service, pensez à l’acheter afin de réduire les chances des attaquants. »

S’il est vrai que les disquettes appartiennent définitivement au passé, le code FDC, à l’origine de cette vulnérabilité, est toujours largement utilisé à l’heure actuelle. Dans la section consacrée aux questions fréquemment posées de leur rapport sur cette faille dangereuse, les experts expliquent que « dans le cas de nombreuses solutions d’émulation vulnérables, le lecteur de disquette virtuel est ajouté par défaut aux nouvelles machines virtuelles. S’agissant de Xen et QEMU, l’administrateur peut interdire l’exécution de cette fonction, mais une autre erreur, sans rapport avec cette vulnérabilité, fait que le code FDC demeure actif et peut être exploité. »

Cette vulnérabilité critique a été baptiséeVENOM pour Virtualized Environment Neglected Operations Manipulation (Opérations de manipulation d’une négligence sur les environnements virtualisés). VENOM signifie également venin ou poison en anglais. Jason Geffner a découvert la vulnérabilité lors d’un audit d’hyperviseurs de machines virtuelles. Ce bogue existe depuis 2004, à savoir depuis l’ajout du code du contrôleur de disquettes virtuel à QEMU. Les développeurs de Xen et QEMU ont déjà publié les correctifs de rigueur et la majorité des grands prestataires de service d’hébergement Cloud ont adopté des mesures contre le code d’exploitation. Ceci étant dit, Dan Kaminsky, qui coopère avec CrowdStrike sur la mise au point d’une solution, considère que la menace de l’utilisation de VENOM dans le cadre d’une attaque est toujours d’actualité.

« Nous utilisons de plus en plus des bacs à sable pour analyser le trafic. Cela a un coût » explique l’expert. L’évasion de la machine virtuelle (et ici, nous sommes en présence d’un cas particulier vu sa répartition dans tout l’écosystème) permet à l’attaquant de voir tout le trafic sur le réseau attaqué. Il n’est pas possible d’appliquer un correctif à une architecture qui repose sur un bac à sable de la même manière que dans un matériel réseau traditionnel. Si vous utilisez ce type d’architecture, réalisez sur le champ une analyse détaillée car de par sa nature, cette architecture est ouverte aux utilisations malveillantes. »

Les membres du projet Xen ont consacré un bulletin spécial à VENOM. Les développeurs ont déclaré : « Cette vulnérabilité touche d’une manière ou d’une autre (en fonction de la configuration) tous les systèmes Xen dont la plateforme invitée tourne sous une architecture x86 et qui fonctionnent en mode de virtualisation complète et sans utilisation de domaines privés. La configuration par défaut est également vulnérable, à l’instar des systèmes invités compatibles avec les modèles qemu-xen ou qemu. Les systèmes invités qui utilisent le processus qemu-dm pour le modèle sont uniquement exposés à l’interception du domaine de service. »

D’après les représentants d’Amazon, un des plus grands prestataires de services d’hébergement Cloud, le bogue VENOM ne les concerne pas. « Nous sommes au courant des problèmes de sécurité lié à QEMU sous le numéro CVE-2015-3456, connus également sous le nom de VENOM, qui touchent plusieurs plateformes de virtualisation » peut-on lire dans un bulletin d’informations d’Amazon. « Il n’y a toutefois aucune risque pour les données des clients d’AWS, ni pour leurs systèmes ».

Source: threatpost

Un « empoisonnement » qui pourrait entraîner une évasion de la machine virtuelle et le vol de données.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception