Postřehy z bezpečnosti: kritická chyba postihující většinu cloudů

Martin Čmelík 18. 5. 2015

V tomto díle Postřehů se podíváme na chybu VENOM, umožňující vyskočit z virtuálního stroje a spustit kód v prostředí hypervizora, dále na hack Washington Post skupinou SEA, bezpečnou službu pro sdílení citlivých souborů, aktualizovaný ceník černého trhu, dva PoC malwary bežící na GPU a spoustu dalšího.

VENOM (Virtualized Environment Neglected Operations Manipulation) je chyba postihující virtualizované prostředí (QEMU, KVM, Xen, VirtualBox), díky které je možné vyskočit mimo prostředí virtuálního stroje (guesta) do prostředí, kde běží samotný virtualizační software ovládající ostatní stroje běžící na stejném hostu.

Chyba má označení CVE-2015–3456 a jedná se o chybu v implementaci ovladače virtuální disketové mechaniky (FDC – The Floppy Disk Controller), který emuluje disketovou mechaniku pro virtuální stroje. Chybu v kódu, který je z roku 2004, našel Jason Geffner ze společnosti CrowdStrike. Při úspěšném využití chyby je možné provést DoS útok a v nejhorším případě i spustit kód mimo virtuální stroj s právy virtuálního prostředí. Pro úspěšné využití chyby není nutné, aby měl virtuální stroj disketovou mechaniku povolenou. Vážnost chyby je podle CVSS 2.0 skóringu 7.7 (High).

Proč hledat chybu zrovna v kódu emulujícím disketovou mechaniku? Protože bude nejspíš nejméně komplexní a tak se tam bude hledat lépe. Není samozřejmě překážkou objevit podobnou chybu v emulaci jakéhokoliv jiného zařízení. V dnešní době je vše v cloudu, což si sice každý manažer vykládá jinak (často špatně), ale velice často to znamená na virtuálním prostředí a na jednom takovém hostu mohou běžet desítky až stovky virtuálních strojů plných potenciálně zajímavých dat, tak si vezměte, jak moc je to zajímavý cíl pro útočníky.

Stejně jako lze vyskočit z linuxového chrootu, či BSD jailu, tak je možné vyskočit z virtuálního prostředí, čímž se ihned dostanete až ke stovce strojů. V prostředí jako je třeba Amazon můžete na jednom takovém hostu mít u sebe virtuály Googlu, Microsoftu, Applu a jiných velkých společností. Proto je tato chyba tak nebezpečná a měla by se okamžitě opravit.

Dennis Fisher se bavil v pořadu Digital Underground broadcast o chybě VENOM s Danem Kaminským. Záznam si můžete poslechnout zde.

Naše postřehy

Adam Gowdiak (CEO polské společnosti Security Explorations) našel sedm chyb v Google App Enginu, které všechny nezávisle umožňují vyskočit z prvního sandboxu, ve kterém běží aplikace uživatelů a získat tak údaje o serverech Googlu a prostředí Javy. Technické údaje jsou zde, zde, zde a zde. Výzkumníci nezkoušeli prolomit další stupeň (a dostat se tak k OS a RPC) kvůli dohodě s Googlem.

Známá skupina SEA kompromitovala mobilní část webu Washington Post. Konkrétně CDN (content delivery network) část hostovanou u Instart Logic, kde se většinou umisťuje statický obsah jako obrázky, videa apod. Cílem bylo zobrazit uživatelům mobilních zařízení zprávy o bezpráví a vraždách syrských a jemenských obyvatelů. Nutno dodat, že tak měli přístup nejen k Washington Postu, ale i k jiným webům hostujícím tamtéž statický obsah (US News, Newrelic, Business.com, Quora, …). Podle všech informací skupina SEA na žádném z nich nedistribuovala malware.

Zajímá vás kolik aktuálně stojí „hack“ Facebook či Gmail účtu? Co třeba potom NetFlixu, Twitteru, DDoS útok, hack WordPressu, serveru, počítače, čísla kreditních karet, 0day exploity, cílený útok, penetrační testování, praní peněz, upravený spyware/malware/keylogger/trojan/banker apod.? Poměrně pěkný článek je právě na téma Deep Webu a blackmarketu na webu InfoSec.

Fujitsu se se svým mobilem označeným jako Arrows NX F-04G snaží zbavit hesel a používat pro autentizaci scan oční duhovky. Nejen pro odemčení telefonu, ale přes API do všech ostatních aplikací a služeb. Nicméně nutno dodat (a zaujmout typicky český postoj nedůvěry a pochybování), že ačkoliv zadní kamera má 21 Mpix, tak přední, která se má právě k autentizaci používat, má jen 2 Mpix. Navíc telefon nebude schopen provést žádné testy živosti, tak uvidíme, jestli ho opět oklame jen trochu lepší fotografie. Jak jsme si již říkali dříve, s lepší fotografií dokážete i zkopírovat otisk prstu.

Potřebujete si s někým vyměnit důležitá data, ale protože se jedná o citlivé informace, tak se vám nejeví jako nejlepší způsob Uloz.to? Zkuste čistě webovou službu OTR.TO. Tato služba používá Off-the-Record Messaging protokol pro bezpečný a šifrovaný přenos dat a nabízí nejen přenos souborů, ale také chat, díky OTR naprostou anonymitu a kód JavaScriptu je volně stažitelný (na Githubu). Služba je zdarma a nemusíte se ani registrovat.

widgety

Jellyfish Rootkit a Demon jsou dva speciální typy PoC malwaru, který používá výjimečnou techniku pro své maskování. Neběží totiž na standardním procesoru (CPU), ale na procesoru grafické karty (GPU). Mezi hlavní výhodu patří to, že ani neexistují nástroje pro analýzu GPU rootkitů. Kód obou vzorků je volně dostupný. Zkuste si představit, kolik dalších není veřejně dostupných.

Ve zkratce

Pro pobavení


Autor: Scott Adams

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Jaká je Swisscom TV Air Free

Jaká je Swisscom TV Air Free

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Další programatické formáty

Další programatické formáty

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie