Hlavní navigace

Postřehy z bezpečnosti: kritická chyba postihující většinu cloudů

Martin Čmelík 18. 5. 2015

V tomto díle Postřehů se podíváme na chybu VENOM, umožňující vyskočit z virtuálního stroje a spustit kód v prostředí hypervizora, dále na hack Washington Post skupinou SEA, bezpečnou službu pro sdílení citlivých souborů, aktualizovaný ceník černého trhu, dva PoC malwary bežící na GPU a spoustu dalšího.

VENOM (Virtualized Environment Neglected Operations Manipulation) je chyba postihující virtualizované prostředí (QEMU, KVM, Xen, VirtualBox), díky které je možné vyskočit mimo prostředí virtuálního stroje (guesta) do prostředí, kde běží samotný virtualizační software ovládající ostatní stroje běžící na stejném hostu.

Chyba má označení CVE-2015–3456 a jedná se o chybu v implementaci ovladače virtuální disketové mechaniky (FDC – The Floppy Disk Controller), který emuluje disketovou mechaniku pro virtuální stroje. Chybu v kódu, který je z roku 2004, našel Jason Geffner ze společnosti CrowdStrike. Při úspěšném využití chyby je možné provést DoS útok a v nejhorším případě i spustit kód mimo virtuální stroj s právy virtuálního prostředí. Pro úspěšné využití chyby není nutné, aby měl virtuální stroj disketovou mechaniku povolenou. Vážnost chyby je podle CVSS 2.0 skóringu 7.7 (High).

Proč hledat chybu zrovna v kódu emulujícím disketovou mechaniku? Protože bude nejspíš nejméně komplexní a tak se tam bude hledat lépe. Není samozřejmě překážkou objevit podobnou chybu v emulaci jakéhokoliv jiného zařízení. V dnešní době je vše v cloudu, což si sice každý manažer vykládá jinak (často špatně), ale velice často to znamená na virtuálním prostředí a na jednom takovém hostu mohou běžet desítky až stovky virtuálních strojů plných potenciálně zajímavých dat, tak si vezměte, jak moc je to zajímavý cíl pro útočníky.

Stejně jako lze vyskočit z linuxového chrootu, či BSD jailu, tak je možné vyskočit z virtuálního prostředí, čímž se ihned dostanete až ke stovce strojů. V prostředí jako je třeba Amazon můžete na jednom takovém hostu mít u sebe virtuály Googlu, Microsoftu, Applu a jiných velkých společností. Proto je tato chyba tak nebezpečná a měla by se okamžitě opravit.

Dennis Fisher se bavil v pořadu Digital Underground broadcast o chybě VENOM s Danem Kaminským. Záznam si můžete poslechnout zde.

Naše postřehy

Adam Gowdiak (CEO polské společnosti Security Explorations) našel sedm chyb v Google App Enginu, které všechny nezávisle umožňují vyskočit z prvního sandboxu, ve kterém běží aplikace uživatelů a získat tak údaje o serverech Googlu a prostředí Javy. Technické údaje jsou zde, zde, zde a zde. Výzkumníci nezkoušeli prolomit další stupeň (a dostat se tak k OS a RPC) kvůli dohodě s Googlem.

Známá skupina SEA kompromitovala mobilní část webu Washington Post. Konkrétně CDN (content delivery network) část hostovanou u Instart Logic, kde se většinou umisťuje statický obsah jako obrázky, videa apod. Cílem bylo zobrazit uživatelům mobilních zařízení zprávy o bezpráví a vraždách syrských a jemenských obyvatelů. Nutno dodat, že tak měli přístup nejen k Washington Postu, ale i k jiným webům hostujícím tamtéž statický obsah (US News, Newrelic, Business.com, Quora, …). Podle všech informací skupina SEA na žádném z nich nedistribuovala malware.

Zajímá vás kolik aktuálně stojí „hack“ Facebook či Gmail účtu? Co třeba potom NetFlixu, Twitteru, DDoS útok, hack WordPressu, serveru, počítače, čísla kreditních karet, 0day exploity, cílený útok, penetrační testování, praní peněz, upravený spyware/malware/keylogger/trojan/banker apod.? Poměrně pěkný článek je právě na téma Deep Webu a blackmarketu na webu InfoSec.

Fujitsu se se svým mobilem označeným jako Arrows NX F-04G snaží zbavit hesel a používat pro autentizaci scan oční duhovky. Nejen pro odemčení telefonu, ale přes API do všech ostatních aplikací a služeb. Nicméně nutno dodat (a zaujmout typicky český postoj nedůvěry a pochybování), že ačkoliv zadní kamera má 21 Mpix, tak přední, která se má právě k autentizaci používat, má jen 2 Mpix. Navíc telefon nebude schopen provést žádné testy živosti, tak uvidíme, jestli ho opět oklame jen trochu lepší fotografie. Jak jsme si již říkali dříve, s lepší fotografií dokážete i zkopírovat otisk prstu.

Potřebujete si s někým vyměnit důležitá data, ale protože se jedná o citlivé informace, tak se vám nejeví jako nejlepší způsob Uloz.to? Zkuste čistě webovou službu OTR.TO. Tato služba používá Off-the-Record Messaging protokol pro bezpečný a šifrovaný přenos dat a nabízí nejen přenos souborů, ale také chat, díky OTR naprostou anonymitu a kód JavaScriptu je volně stažitelný (na Githubu). Služba je zdarma a nemusíte se ani registrovat.

Jellyfish Rootkit a Demon jsou dva speciální typy PoC malwaru, který používá výjimečnou techniku pro své maskování. Neběží totiž na standardním procesoru (CPU), ale na procesoru grafické karty (GPU). Mezi hlavní výhodu patří to, že ani neexistují nástroje pro analýzu GPU rootkitů. Kód obou vzorků je volně dostupný. Zkuste si představit, kolik dalších není veřejně dostupných.

Ve zkratce

Pro pobavení


Autor: Scott Adams

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

20. 5. 2015 13:07

Příjemně mě překvapilo, že tyhle firmy orientované na bezpečnost vedou skuteční odborníci, nikoliv manažeři. Alespoň něco je ještě na světe správně.

18. 5. 2015 16:19

Google, MS... maji vlastni stroje (minimalne v pripade Google i s vlastnim navrhem HW), vlastni datacentra a vlastni cloudy. Taktez Apple, ten ale historicky i nektere veci mel u MS na Azure (mozna jeste ma, nezkoumal jsem stav).

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie