Venom: Oracle stopft Leck in Virtual Box und Oracle VM

Oracle veröffentlicht Patches für die Virtualisierungsprodukte Virtual Box, Oracle VM und Oracle Linux, die von der als VENOM (CVE-2015-3456) bekannten Schwachstelle betroffen sind. Angreifer können über die Schwachstelle eine virtuelle Maschine verlassen und Zugang zum Host-System erlangen. Über den Host-Server ist es dann möglich, auch auf andere virtuelle Maschinen zuzugreifen und Daten zu entwenden.

VENOM (Virtualised Environment Neglected Operations Manipulation) lässt sich über einen so genannten Buffer-Overflow ausnutzen. KVM und Xen haben wie andere bereits Patches veröffentlicht. Entdeckt hat die Schwachstelle der Sicherheitsexperte Jason Geffner von Crowdstrike, der auch die Hersteller über VENOM informierte.

Weil dieses Leck sehr kritisch ist, rät Oracle allen Betroffenen die Aktualisierungen umgehend aufzuspielen. Damit das Update wirksam wird, ist ein Neustart erforderlich. Erfolgreich ausnutzen lässt es sich jedoch nur dann, wenn der Angreifer an dem Oracle-System angemeldet ist.

Der verwundbare Code für den Floppy Disk Controller sei neben verschiedenen anderen Virtualisierungs-Produkten auch in einigen Oracle-Produkten enthalten, wie der Hersteller in dem Advisory mitteilt. Die Schwachstelle, so heißt es von Oracle weiter, lasse sich ausnutzen, indem ein Hacker Zugang zu einem Gastsystem hat, das Gastsystem muss allerdings berechtigt sein, auf den Floppy Disk Controller (FDC) zuzugreifen. “Dann kann der Angreifer in der Lage sein, bösartigen Code an den FDC zu schicken, dieser wird dann im Kontext des Hypervisor-Prozesses auf dem Host-Betriebssystem ausgeführt.”

Betroffen sich VirtualBox 3.2, 4.0, 4.1, 4.2 sowie 4.3 älter als 4.3.28. Bei Oracle VM sind die Versionen 2.2, 3.2 sowie 3.3 und bei Oracle Linux weisen 5, 6, and 7 das Leck auf. VENOM ermöglicht ein Privileg Escalation.

Damit dürften auch viele Unternehmensanwender nicht gefährdet sein. Denn nur in wenigen Fällen gewähren Anwender-Unternehmen Zugriff auf virtuelle Maschinen. Hoster oder ISVs allerdings sind dadurch verwundbar: Ein Angreifer müsste sich für eine Attacke lediglich eine Instanz auf Basis von KVM oder Xen anmieten und könnte dann über VENOM auf den Host-Rechner zugreifen.

Der Fehler soll sich seit elf Jahren im virtuellen Floppy Disk Controller (FDC) befinden. Betroffen waren Open-Source-Emulator (QEMU) und damit auch die Virtualisierungsplattformen Xen, KVM, Virtualbox und der native QEMU-Client, wie Geffner erklärt. Nicht anfällig sind VMware, Microsofts Hyper-V und der Bochs-Hypervisor.

Floppy-Laufwerke sind meist nicht mehr im Einsatz. Dennoch werden von den Herstellern virtuelle Maschinen ab Werk mit dem virtuellen Floppy Disk Controller ausgestattet. Über einen Input/Output-Port kommuniziert das Gastbetriebssystem mit FDC. Dieser prüft, wie viele Daten er erhalten soll. Nach dem Erhalt der erwarteten Daten, führt er den Befehl aus und leert den Puffer für die nächste Übertragung. Angreifer können Venom nutzen, um die Befehle mit einem bestimmten Parameter zu senden. Dieser löst anschließend einen Pufferüberlauf aus. Auf diese Weise lässt sich dann Schadcode einschleusen und ausführen.

Geffner allerdings sieht in Venom ein Leck, von dem ein höheres Risiko ausgeht als durch die Heartbleed-Lücke in der Verschlüsselungssoftware OppenSSL. “Heartbleed lässt einen Bösewicht durch das Fenster eines Hauses schauen und die Informationen sammeln, die er sieht”, sagte Geffner in einem Telefoninterview mit ZDNet USA. “Venom erlaubt es einer Person, nicht nur in ein Haus einzubrechen, sondern auch in jedes andere Haus in der Nachbarschaft.”

Auch Red Hat, SUSE, Debian, Amazon sowie weitere Hersteller und Projekte bereits Patches veröffentlicht. Die Endurance International Group hat eine Anleitung bereit gestellt, wie sich Xen und KVM auch ohne Neustart akualisieren lassen.