Sécurité

VENOM – Comme un poison dans l’hôte

Publié le : Auteur: llaise Laisser un commentaire
Logo Venom

Les mois passent et se ressemblent … La semaine passée a été porteuse d’une nouvelle vulnérabilité découverte par CrowdStrike : VENOM (Virtualized Environment Neglected Operations Manipulation), une vulnérabilité de type « VM Escape ».

Les « backronym » sont à la mode dans le domaine des vulnérabilités en ce moment. Quand le marketing s’empare du domaine de la sécurité, les priorités changent : il faut désormais un logo (scary cobra!), un nom et ensuite seulement une vulnérabilité. Mais revenons-en à VENOM.

Qui est touché ?

Tous ceux qui utilisent de la virtualisation à base de Xen, KVM, Virtualbox, et QEMU. Les plates-formes Hyper-V, VMware et BOCHS ne sont pas touchées (j’en entends déjà souffler 😉)

C’est dangereux ?

On peut le dire. Théoriquement, il est possible depuis une machine virtuelle d’avoir accès à l’hyperviseur et à toutes les autres VM hébergées sur l’hôte.

En résumé, compromission d’une VM = compromission de l’hôte. L’attaquant aurait alors un bon pied dans le datacenter …

Quand la disquette fait son come-back … !

Qui l’eut cru ? L’exploit (heap/stack buffer overflow) se réalise via le « Floppy Disk Controller ». Mais ne croyez pas qu’il suffit de supprimer le lecteur de disquette virtuel de sa VM pour être protégé. Le contrôleur de disquette est chargé en mémoire au lancement de la VM par QEMU et la vulnérabilité reste malgré tout exploitable.

Une démo ?

Non, pas encore… Seul un PoC existe et permet de faire crasher l’hyperviseur… Mais je n’ai pas encore pu le tester. On notera également que l’exploit nécessite les droits « root » sur la VM.

Comment patcher ?

C’est délicat, dans le sens où le patch s’applique à l’hôte. Après application, il faut soit redémarrer l’hôte (ouch), soit éteindre et relancer la VM (re-ouch), ou déplacer la VM sur un autre hyperviseur, patcher, et la re-déplacer sur l’hyperviseur… On évite ainsi les coupures 😉 .

Conclusion

VENOM est très dangereux et n’est pas à prendre à la légère, mais est aujourd’hui officiellement non-exploité (NSA, si tu nous entends …), à contrario des « Heartbleed » ou « Shellshock ».

Il faut aussi noter que c’est un bug vieux de 10 ans qui vient encore d’être découvert. Comme quoi, c’est dans les vieux pots qu’on fait les meilleurs vulns’ 🙂

 

Sources :

CrowdStrike : http://venom.crowdstrike.com/

Sophos : https://nakedsecurity.sophos.com/2015/05/14/the-venom-virtual-machine-escape-bug-what-you-need-to-know