Bitdefender deckt grundlegende Schwachstelle virtualisierter Infrastrukturen auf

Der Sicherheitsanbieter hat zu Forschungszwecken eine Angriffstechnik namens TeLeScope entwickelt, die es Dritten theoretisch erlaubt, per TLS verschlüsselte Kommunikation zwischen einem Endanwender und einer virtualisierten Serverinstanz mitzulesen. Sie spürt die nötigen Schlüssel auf Hypervisor-Ebene auf.

Der rumänische Sicherheitsanbieter Bitdefender hat eine Schwachstelle in Public-Cloud-Infrastrukturen nachgewiesen, die es Dritten theoretisch erlaubt, mit dem Protokoll Transport Layer Security (TLS) verschlüsselte Kommunikation abzufangen. Zu Forschungszwecken hat er eine Technik namens TeLeScope entwickelt, die das Mitlesen des Datenverkehrs zwischen dem Endanwender und einer virtualisierten Serverinstanz ermöglicht.

(Bild: Bitdefender)Im Rahmen eines Proof-of-Concepts hatte Bitdefender-Sicherheitsforscher Radu Caragea auf der HITB-Konferenz in Amsterdam Ende Mai bereits demonstriert, wie verschlüsselte Kommunikation in Echtzeit entschlüsselt werden kann. Die dazu eingesetzte Technik hinterlässt Bitdefender zufolge keinerlei Spuren und ist daher selbst von Experten nur schwer zu entdecken.

TeLeScope funktioniert ausschließlich in virtualisierten Umgebungen, die auf einem Hypervisor laufen. Solche virtualisierten Infrastrukturen werden unter anderem von Amazon, Google, Microsoft und DigitalOcean angeboten. Von der Schwachstelle in hohem Maß betroffen können laut Bitdefender Regierungsorganisationen, Banken und Unternehmen sein, die mit geistigem Eigentum oder persönlichen Daten befasst sind.

Anstatt eine Sicherheitslücke im TLS-Protokoll auszunutzen, setzt die Angriffstechnik darauf, die TLS-Schlüssel auf Hypervisor-Ebene durch intelligentes Memory-Probing aufzuspüren. Während Zugriffsverfahren auf die virtuellen Ressourcen einer Virtuellen Maschine (VM) bereits bekannt sind – etwa durch den Zugriff auf die Festplatte der VM -, war es zuvor nicht gelungen, TLS-Traffic in Echtzeit zu entschlüsseln, ohne dabei den Betrieb der VM für eine wahrnehmbare Zeitspanne zu unterbrechen.

„Anstatt die Maschine pausieren zu lassen – was eine bemerkbare Latenz nach sich ziehen würde – und einen vollständigen Memory-Dump durchzuführen, entwickelten wir eine Memory-Diffing-Technologie und verwendeten dabei Stammfunktionen, die bereits in Hypervisor-Technologien vorhanden sind“, erklärt Caragea. „Obwohl damit der Dump bereits von Gigabytes auf Megabytes reduziert werden kann, ist die erforderliche Zeit, um diese Menge auf ein Speichermedium zu schreiben, immer noch nicht vernachlässigbar (im Bereich von wenigen Millisekunden). Wir können aufzeigen, wie es uns gelingt, den Prozess bei der Netzwerklatenz zusätzlich zu verschleiern, ohne den Betrieb der Maschine zu unterbrechen.“

ANZEIGE

Das Samsung Galaxy S7 und Galaxy S7 Edge im Business-Einsatz

Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.

Entdeckt wurde dieser Angriffsvektor als Bitdefender einen Weg suchte, bösartige Outbound-Aktivitäten auf seinem Honeypot-Netzwerk zu untersuchen, ohne dabei die Maschine zu beeinflussen und ohne dass Angreifer bemerken, dass sie beobachtet werden. Man habe sich dazu entschlossen, diesen Weg der Öffentlichkeit detailliert vorzustellen, da die sozialen, wirtschaftlichen und politischen Einsatzmöglichkeiten des passiven Traffic Monitorings in virtualisierten Umgebungen extrem groß seien, so das Sicherheitsunternehmen in einer Pressemitteilung. „Beispielsweise kann ein unzufriedener Server-Administrator mit Zugriff auf den Hypervisor des Host-Servers sämtliche Informationen, die vom Kunden kommen oder zu ihm fließen, beobachten, herausfiltern und zu Geld machen. Zu diesen Informationen gehören E-Mail-Adressen, Onlinebanking, Chats, persönliche Bilder und weitere private Daten.“

Unseriöse Cloud Provider oder Anbieter, die von Nachrichtendiensten dazu aufgefordert werden, könnten mit Angriffen dieser Art in den Besitz der TLS-Keys gelangen, die für die Verschlüsselung von Kommunikationssitzungen zwischen virtualisierten Servern und Kunden verwendet werden. Das gilt laut Bitdefender selbst dann, wenn Perfect Forward Secrecy (PFS) verwendet wurde.

Verantwortliche CIOs, die eine virtualisierte Infrastruktur an einen Drittanbieter ausgelagert haben, müssen daher davon ausgehen, dass sämtliche Informationen, die mit den Anwendern ausgetauscht werden, entschlüsselt und für unbestimmte Zeit lesbar sind. Da dieser Ansatz keinerlei forensische Spuren hinterlässt, erhalten sie auch keine Benachrichtigung darüber, ob und wann ein Kommunikationsfluss kompromittiert wurde.

Die Machbarkeitsstudie von Bitdefender deckt einen grundlegenden Fehler auf, der weder behoben noch entschärft werden kann, ohne dass die verwendeten Verschlüsselungsbibliotheken neu geschrieben werden müssen. Die aktuell einzige Schutzmöglichkeit besteht nach Aussage des Sicherheitsunternehmen darin, Zugriffen auf den Hypervisor vorzubeugen und eigene Hardware innerhalb der eigenen Infrastruktur zu betreiben. Sein Fazit lautet: „Wer nicht die Kontrolle über die Hardware besitzt, besitzt nicht die Kontrolle über die Daten.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Bitdefender, Security, Virtualisierung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Bitdefender deckt grundlegende Schwachstelle virtualisierter Infrastrukturen auf

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *