VMware ESXi: Angriffe auf den Hypervisor

Mit der Software CANape lässt sich der Netzwerkverkehr zwischen VMwares Hypervisor ESXi und den Clients nicht nur überwachen, sondern auch manipulieren. Für die Kommunikation nutzt VMwares Verwaltungssoftware beispielsweise HTTPS aber auch binäre Protokolle.

Artikel veröffentlicht am ,
James Forshaw demonstriert mit CANape zahlreiche Schwachstellen in VMwares Kommunikationsprotokollen.
James Forshaw demonstriert mit CANape zahlreiche Schwachstellen in VMwares Kommunikationsprotokollen. (Bild: FEM 29C3)

Auf dem 29. Chaos Communication Congress (29C3) hat Sicherheitsexperte James Forshaw die Software CANape vorgestellt, mit der sich auch binäre Protokolle im Netz überwachen lassen. Der Entwickler demonstrierte am Beispiel des ESXi-Hypervisors von VMware, wie der Datenverkehr zwischen Hypervisor und Client nicht nur abgegriffen und aufgezeichnet werden kann, sondern auch so manipuliert werden kann, dass er beispielsweise Tastatureingaben an Clients versendet. Mit der CANape deckte er zahlreiche Fehler auf, die VMware reparieren will oder bereits korrigiert hat.

Stellenmarkt
  1. Software Ingenieur*in (d/m/w) Equipment Integration
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  2. Security Operations Manager (m/w/d)
    Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH), Neuherberg bei München
Detailsuche

CANape klinkt sich als Socks-Proxy in die Kommunikation zwischen Clients und dem ESXi-Hypervisor ein. Mit zahlreichen Plugins kann die Software die verschiedenen Protokolle interpretieren, die VMwares Verwaltungssoftware für die Kommunikation mit dem Hypervisor nutzt, darunter VMwares Network-File-Copy- (NFC) oder RD-Protokoll. Anders als Wireshark beschränkt sich CANape auf weniger gängige oder kaum dokumentierte Protokolle. Mit CANape lässt sich der Datenverkehr in virtuellen Umgebungen von Citrix auslesen.

Datenverkehr entschlüsselt

VMwares ESXi nutzt seine eigenen CA-Zertifikate für das SSL-Protokoll, die es auch weitergibt. Zwar können eigene Zertifikate genutzt werden, dann stürzt der Client hin und wieder ab. ESXi aber gültige und funktionierende Zertifikate mitzugeben, sei jedoch mit wenig Aufwand möglich, sagte Forshaw. Zwar weise der Hypervisor einmalig darauf hin, dass es sich möglicherweise um ein gefälschtes Zertifikat handelt, die Meldung lässt sich mit einem Klick aber übergehen. Nach dem Import des Zertifikats konnte Forshaw den mit SSL verschlüsselten Datenverkehr offenlegen.

Danach ließ sich schnell herausfinden, wie Tastatureingaben an virtuelle Maschinen übergeben werden können. Forshaw las dazu über VNC abgegebene Pakete an den Hypervisor aus und entdeckte die übermittelten Tastaturbefehle. Er zeichnete sie auf und sandte sie später erneut an ESXi, startete beispielsweise eine Linux-Distribution am Bootprompt einer virtuellen Maschine.

Fuzzing und Speicherüberläufe

Golem Akademie
  1. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
  2. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
Weitere IT-Trainings

Außerdem demonstrierte Forshaw Fuzzing-Angriffe und das Versenden von manipulierten Dateien über VMwares NFC-Protokoll, die unter anderem einen Absturz des Hypervisors zur Folge hatten. Insgesamt habe er mit CANape fünf Speicherüberläufe in den Protokollen entdeckt. Außerdem konnte er zwei unbehandelte Ausnahmen, zwei uninitialisierte Zeiger und eine Schwachstelle bei freigegebenem Speicher nachweisen. Er habe seine Befunde bereits an VMware geschickt.

CANape ist modular aufgebaut, wurde in .NET umgesetzt und bietet Schnittstellen zu Ironpython und Ironruby oder C#. Das besondere an CANape sei seine Benutzerschnittstelle, sagte Forshaw. Bestimmte Angriffsszenarien lassen sich per Drag-and-Drop schnell zusammenstellen und konfigurieren. Gegenwärtig ist Version 1.1 von CANape vom Frühjahr 2012 kostenlos erhältlich. In wenigen Tagen soll eine neue Version von der Webseite des Sicherheitsunternehmens zum Download bereitstehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Notch des Macbook Pro legt sich über Inhalte

Erste Käufer des neuen Macbook Pro berichten von einer schlechten Software-Anpassung. So legt sich die Notch über Menüs oder den Mauszeiger.

Apple: Notch des Macbook Pro legt sich über Inhalte
Artikel
  1. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

  2. Windows XP: Das Drehbuch für Dune wurde mit MS-DOS-Programm geschrieben
    Windows XP
    Das Drehbuch für Dune wurde mit MS-DOS-Programm geschrieben

    Eric Roth verwendet seit Jahren den Movie Master für MS-DOS. Auch Dune schrieb er mit dem 30 Jahre alten Editor - und einer IBM Model M.

  3. Precobs: Polizei verzichtet auf Prognose-Software gegen Einbrecher
    Precobs
    Polizei verzichtet auf Prognose-Software gegen Einbrecher

    Nach sieben Jahren beendet die Polizei in Bayern die Nutzung einer Prognose-Software. Die Ergebnisse waren am Ende zu schlecht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate (u. a. Asus B550-Plus Mainboard 118€) • Switch OLED 369,99€ • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /