VMware ESXi 5 Übernahme des Hypervisors über ein Gastsystem

Deepsec 2012 Mit modifizierter Firmware können Hacker mit einer Root-Shell auf den ESXi-5-Hypervisor von VMware zugreifen. Das haben die beiden Sicherheitsexperten Pascal Turbing und Hendrik Schmidt auf der Deepsec 2012 demonstriert.

Anzeige

Ohne großen Aufwand können Angreifer auf den Hypervisor von VMware zugreifen. Sie können dazu weitgehend unbekannte Parameter in den Beschreibungsdateien der virtuellen Festplatten für Gastsysteme nutzen, um sich schreibenden Zugriff auf das Root-Dateisystem des Hypervisors zu verschaffen. Da der Zugriff auf die virtuelle Infrastruktur in entfernten Systemen weitgehend vom Provider ungeprüft erfolgt, werten die Sicherheitsexperten Pascal Turbing und Hendrik Schmidt diese Lücke als gravierend. Sie demonstrierten auf der Deepsec 2012 erstmals auch einen Zugriff auf den Hypervisor mit einer Root-Shell.

Zunächst fiel den Sicherheitsexperten auf, dass sie mit eigenen Parametern im Abschnitt Disk Descriptor aus Gastsystemen heraus auf die Lodgdateien des Hypervisors zugreifen können. Dazu reicht beispielsweise der Eintrag VMFS "/scratch/log/vmkernel1.0.gz". Danach kann die Logdatei als Loopback-Device mit dem Befehl losetup in das Linux-Gastsystem eingebunden werden.

Erst Logdateien, dann ganze Verzeichnisse

Turbing und Schmidt gingen noch ein Schritt weiter. Mit dem Zugriff auf die Logdateien ließen sich auch weitere Informationen der virtuellen Umgebung auslesen, etwa der Name der von dem Hypervisor verwendeten Festplatten. Diese konnten sie dann mit dem Konfigurationseintrag RW 0 VMFSRAW "/dev/disk/Diskname" ebenfalls ins Gastsystem einbinden.

Das funktioniert auch deshalb, weil Linux Geräte als Dateien behandelt. Das Einbinden einzelner Verzeichnisse ist ebenfalls möglich. Lediglich Dateien in der Ramdisk des Hypervisors konnten sie zunächst nicht einbinden, denn sie wird dynamisch während des Starts des Hypervisors erzeugt und mit den Parametern aus der Bootbank-Partition gefüttert, aus der das Root-Dateisystem des Hypervisors generiert wird.

Zugriff auf die Konfigurationsdateien des Hypervisors

Also galt es, Zugriff auf das Bootbank-Verzeichnis zu erhalten. Es wurde wie bereits erwähnt mit Schreibzugriff im Gastsystem eingebunden. Die dort abgelegten Dateien sind mit einem speziellen Tar-Gz-Format gepackt. Sie können nur mit der Binärdatei Vmtar und der Bibliothek Libvmlibs.so erstellt werden, die jeder VMware-Installation beiliegen und in das Gastsystem kopiert werden können.

Die Hacker konnten so eine modifizierte Firewall-Konfigurationsdatei im Bootbank-Verzeichnis ablegen und beispielsweise per DoS-Angriff einen Neustart des Hypervisors erzwingen. Danach konnte sie sich in die Shell des Hypervisors einloggen.

Unbefugte Nutzer fernhalten

Ein solcher Angriff kann unter folgenden Voraussetzungen erfolgen: Das präparierte Gastsystem muss über das von VMware bereitgestellte API ohne Änderungen oder Verifizierung auf das System mit dem Hypervisor ESXi 5 übertragen werden. Die Dateien des Gastsystems müssen auf einer eigenständigen Partition liegen, die nicht vom Hypervisor genutzt wird.

Bislang weist der VMware-Hersteller lediglich darauf hin, dass grundsätzlich Unbefugten kein Zugang zum Hypervisor gewährt werden sollte. Von den vier kontaktierten Serviceprovidern, die virtuelle Umgebungen mit ESXi 5 anbieten, geben nur zwei an, die auf ihre Server hochgeladenen Dateien zu prüfen, sagten Turbing und Schmidt zu Golem.de.

Eine genaue Beschreibung des Angriffsvektors haben die Hacker in ihrem Blog veröffentlicht.

Kommentarübersicht
Re: Angriffsszenario unrealistisch
1st1 01. Dez 2012

Für Firmen, die ihre Server virtuell im eigenen Hause betreiben ist das Szenario in der...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Mitarbeiter/in 1st & 2nd Level Support IT
    Christoffel Blindenmission Deutschland e.V., keine Angabe
  2. Software-Entwickler (m/w) für Embedded Systeme
    Ultratronik GmbH, Gilching
  3. Projektleiter (m/w)
    Outcome Unternehmensberatung GmbH, Köln
  4. Corporate Security Officer (m/w)
    Bremer Landesbank, Bremen

 

Detailsuche

Folgen Sie uns
       
Videos
Anki - Vorstellung des Unternehmens Anki - Vorstellung des Unternehmens
Ticker
  1. Osram

    Mini-LEDs für stromsparende LCDs mit Quantenpunkten

  2. Flugdrohne

    GPS für AR.Drone 2.0 ermöglicht autonome Flüge

  3. 40 gefährliche Sicherheitslücken

    Aktueller Patch von Oracle nur für Java 7

  4. Hands On

    Huawei Ascend P6 ist schick und schlank

  5. Letzte Meile

    Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

  6. Prism

    Wie der BND das Netz überwacht

  7. Socl

    Microsofts soziales Netzwerk wird zum Meme-Generator

  8. XMP-Profile

    Kompatibilitätslisten zu DDR3-Modulen für Haswell

  9. Datenbrille

    Datenschützer halten Google Glass für nicht EU-tauglich

  10. We are Watching You

    Widerstand gegen Kinect-Überwachung in den USA

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Golem.de
In eigener Sache: Was auf unseren Adblocker-Aufruf folgte
In eigener Sache
Was auf unseren Adblocker-Aufruf folgte

Zusammen mit einigen anderen Websites haben wir vor rund einem Monat unsere Leser gebeten, ihren Adblocker auf unseren Seiten abzuschalten. Ein Resümee.

  1. In eigener Sache Bitte schalte deinen Adblocker aus!
Xbox One
Xbox One: 340.000 Asteroiden aus der Cloud
Xbox One
340.000 Asteroiden aus der Cloud

E3 2013 Wie leistungsstark Xbox One und Playstation 4 im Vergleich sind, lässt sich noch nicht endgültig sagen. Mit einer Demonstration hat Microsoft versucht, die Bedeutung der zusätzlich möglichen Cloud-Berechnungen zu belegen. Außerdem konnte Golem.de die beiden neuen Konsolencontroller ausprobieren.

  1. Xbox One Anonymer Microsoft-Entwickler verteidigt DRM
  2. Video-Interview Cevat Yerli über Römer, Ryse und Xbox-One-Technik
  3. Xbox One Ein Halo, ein Erscheinungstermin und ein Preis
Macbook
Photofast: MicroSD-Laufwerke für Macbooks
Photofast
MicroSD-Laufwerke für Macbooks

Photofast hat eine Speichererweiterung für Macbooks vorgestellt, die mit MicroSD-Karten bestückt wird. Die Konstruktion wird dann in den SD-Kartenschacht der Geräte gesteckt, wo sie fast vollständig verschwindet. Wer will, kann auch den beigelegten, winzigen MicroSD-Adapter für den USB-Port nutzen.

  1. Geplante Obsoleszenz Regierung lehnt Mindestnutzungsdauer von Technikprodukten ab
  2. Geplante Obsoleszenz Gesetz soll Mindestnutzungsdauer für Elektronik erzwingen
  3. Zendock Dockingstation für Macbook Pro und Retina-Modelle
Forumsbeiträge »
  1. Edward Snowden NSA-Hacker verursachen weltweit Systemabstürze

    Re: Hollywood ist garnicht so unrealistisch

    Acid 303 | 08:57

  2. Bolzplatz

    Re: Eher der Cube Nachfolger

    DY | 08:57

  3. Hosting Runde Mac Pro liegen im Weinregal des Rechenzentrums

    Als ob die Stellfläche ein Thema wäre!

    DY | 08:55

  4. Edward Snowden NSA-Hacker verursachen weltweit Systemabstürze

    Re: Glaubwürdigkeit

    DJ_Ben | 08:55

  5. Hands On Huawei Ascend P6 ist schick und schlank

    Re: Gut gefilmt

    Guardian | 08:54

Ticker »
  1. Osram Mini-LEDs für stromsparende LCDs mit Quantenpunkten

    07:57

  2. Flugdrohne GPS für AR.Drone 2.0 ermöglicht autonome Flüge

    07:45

  3. 40 gefährliche Sicherheitslücken Aktueller Patch von Oracle nur für Java 7

    01:12

  4. Hands On Huawei Ascend P6 ist schick und schlank

    21:39

  5. Letzte Meile Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

    20:08

  6. Prism Wie der BND das Netz überwacht

    19:36

  7. Socl Microsofts soziales Netzwerk wird zum Meme-Generator

    18:40

  8. XMP-Profile Kompatibilitätslisten zu DDR3-Modulen für Haswell

    18:24

Zum Artikel