Nous vous proposons cette semaine notre bulletin INFO sur la faille VENOM, récemment dévoilée. Elle permet à un attaquant de s’échapper d’un environnement virtualisé et d’accéder au système hôte voire aux autres machines virtualisées.
Titre | VENOM : la faille qui permet de s’échapper d’un environnement virtualisé |
Titre officiel | Virtualized Environment Neglected Operations Manipulation |
Criticité | Elevée |
Plateforme | Toutes |
Exploitation | Distante |
Dommage | Accès au système |
Description | Jason Geffner, chercheur en sécurité chez CrowdStrike, a récemment découvert une vulnérabilité présente depuis 2004 dans de nombreux environnements de virtualisation tels que : Xen, KVM, VirtualBox, Citrix, F5 et FireEye. C’est en effet en 2004 que fut ajouté au code de QEMU, utilisé entre autres par les environnements cités précédemment, un contrôleur de disquette au sein duquel la vulnérabilité référencée CVE-2015-3456 est présente. Même si les supports disquette sont depuis bien longtemps inutilisés, le contrôleur mit en place reste lui encore activé par défaut dans les environnements de virtualisation. S’ajoute à cela une erreur de conception au sein de Xen et QEMU impliquant que le code vulnérable reste actif même si un administrateur souhaite désactiver ce contrôleur de disquette. L’exploitation de cette vulnérabilité permettait en échappant au confinement d’une machine virtuelle, d’atteindre l’hyperviseur, les autres machines virtuelles gérées par cet hyperviseur, voire tout autre système pouvant être accessible depuis cet hôte. Cette méthode s’exploite de la façon suivante : * Le système d’exploitation (virtualisé) communique avec le contrôleur de la disquette avec des commandes telles que : seek, read, write, et format sur le port d’entrée-sortie du contrôleur. Remarque : il faut cependant au préalable avoir les droits administrateurs afin de pouvoir communiquer avec ce contrôleur. L’impact de cette vulnérabilité est toutefois atténué si la bibliothèque de virtualisation libvirt est utilisée pour gérer les machines virtuelles utilisant QEMU. Les processus de virtualisation s’exécutent alors avec l’utilisateur libvirt-qemu dont l’accès aux ressources système est limité et ne permet pas au pirate d’étendre son attaque. À cela peut s’ajouter un profil « AppArmor » qui limite significativement l’impact de cette vulnérabilité. Note : aucune attaque n’a pour l’instant était recensée, cette vulnérabilité a été rendue publique le 13 mai 2015. Note 2 : il est possible pour les superviseurs KVM et Xen de corriger la vulnérabilité sans nécessiter un redémarrage de la machine hôte, suivre pour cela les recommandations |
Référence | http://venom.crowdstrike.com/ https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/VENOM |
Référence CVE | http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456 |
Id XMCO | CXA-2015-1603 |
Lien extranet XMCO | https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-1603 |