Bundesamt für Sicherheit in der Informationstechnik

G 5.148 Missbrauch von Virtualisierungsfunktionen

Die meisten Virtualisierungsprodukte enthalten Werkzeuge, um virtuelle Maschinen oder bestimmte Zustände der virtuellen Maschinen einfrieren zu können. Diese Funktionen basieren in der Regel darauf, dass die Festplattencontainer der virtuellen IT -Systeme kopiert oder die Zustände des Arbeitsspeichers und des Prozessors des virtuellen IT-Systems auf einen Massenspeicher des Virtualisierungsserver abgespeichert werden.

Jeder Virtualisierungsserver hat Zugriff auf alle Speicherressourcen der von ihm verwalteten virtuellen Maschinen. Es besteht daher die Gefahr, dass vom Virtualisierungsserver auf solche Ressourcen unautorisiert zugegriffen wird, um Daten unerlaubt zu kopieren oder zu verändern. Daher kann ein Angreifer leicht eine Kopie einer virtuellen Maschine herstellen, um diese unerlaubt aus dem Rechenzentrum zu entfernen und beispielsweise auf einem eigenen Virtualisierungsserver zu betreiben. Die erstellte Kopie kann er dazu nutzen, um die virtuelle Maschine zu untersuchen.

Des Weiteren kann ein unveränderter Klon einer virtuellen Maschine zu einem IP -Adressen- oder sonstigen Ressourcenkonflikt im Rechenzentrumsbetrieb führen, wenn ein solcher Klon vor dem Start nicht angepasst wird.

Bei einigen Virtualisierungsprodukten können Snapshots einer virtuellen Maschine auch im laufenden Betrieb erzeugt werden. In diesem Fall wird der Prozessorzustand und der Inhalt des Hauptspeichers auf eine Festplatte des Virtualisierungsservers geschrieben. Des Weiteren wird der Festplattencontainer der virtuellen Maschine ebenfalls eingefroren und Änderungen werden in eine Differenzdatei geschrieben. Diese Daten können kopiert werden, um mittels eines anderen Virtualisierungsservers einen laufenden Klon der virtuellen Maschine zu erzeugen. Die gespeicherten Inhalte des Prozessorzustands und des Hauptspeichers der virtuellen Maschine können zudem von einem Angreifer verwendet werden, um Speicherbereiche der virtuellen Maschine zu analysieren. Hier können beispielsweise Schlüssel von Verschlüsselungswerkzeugen, die unverschlüsselt im Hauptspeicher der virtuellen Maschine gespeichert sind, extrahiert werden.

Weiterhin ist es möglich, durch die Verwendung von Snapshots virtuelle Maschinen auf einen alten Stand zurück zu setzen. Hierdurch können Maßnahmen unterlaufen werden, die beispielsweise unternommen wurden, um Sicherheitslücken zu schließen.

Durch das Zurücksetzen einer virtuellen Maschine auf einen Snapshot können auch Angriffe verschleiert werden, die ansonsten in den Protokolldateien der virtuellen Maschinen aufgezeichnet würden. Mit dem Zustand der virtuellen Maschine wird ebenfalls ihre Protokolldatei zurückgesetzt.

Werden ältere Snapshots aktiviert, können auch Daten wiederhergestellt werden, die gelöscht sein sollten. Wird das virtuelle IT-System auf den Snapshot zurückgesetzt, sind die vermeintlich gelöschten Daten wieder vorhanden. Auch die Verwendung von Werkzeugen, die den Inhalt einer Datei mehrfach überschreiben, um eine Wiederherstellung unmöglich zu machen, ist wirkungslos, wenn ein Snapshot erzeugt wurde, bevor das Werkzeug innerhalb des virtuellen IT-Systems verwendet wird. Ist für eine virtuelle Maschine ein Snapshot erzeugt worden, wirken sich die Überschreibvorgänge nur auf die Differenzdatei aus, die die Änderungen enthält, die seit Erzeugung des Snapshots erfolgt sind. Wird der Snapshot gelöscht und die Änderungen in der Differenzdatei werden auf den Festplattencontainer angewandt, werden die scheinbar mehrfachen Überschreibvorgänge nur einmal in den Festplattencontainer geschrieben.

Beispiel:

Im Rechenzentrum eines Unternehmens, das in der Grundlagenforschung tätig ist, werden in einem virtuellen IT-System Daten mit einer hohen Schutzbedarfskategorie bezüglich Vertraulichkeit verarbeitet. Daher wird in der virtuellen Maschine ein Festplattenverschlüsselungsprogramm installiert. Dieses erfordert die Angabe eines Kennworts während des Startvorgangs. Das Kennwort ist nur wenigen, besonders vertrauenswürdigen Mitarbeitern des Unternehmens bekannt.

Das Festplattenverschlüsselungsprogramm arbeitet für das Betriebssystem der virtuellen Maschine transparent. Das heißt, es muss während des Betriebs der virtuellen Maschine kein weiteres Kennwort eingegeben werden.

Während des Betriebs der virtuellen Maschine sind die Daten durch die Einschränkung von Berechtigungen geschützt. Zudem werden Benutzerkonten automatisch gesperrt, wenn mehrfach versucht wird, mittels dieser Konten unberechtigt Zugang zu den Daten zu erlangen.

Durch den Einsatz des Festplattenverschlüsselungsprogramms sind die Daten der virtuellen Maschine im Speichernetz geschützt. Der Rechenzentrumsbetreiber geht daher davon aus, dass das Kopieren des Festplattencontainers der virtuellen Maschine keine für einen Angreifer verwertbaren Daten ergibt. Zudem glaubt er durch die Berechtigungsvergabe und die automatische Kontensperre ein ausreichendes Sicherheitsniveau erreicht zu haben.

Ein Mitarbeiter dieses Rechenzentrums befindet sich in finanziellen Schwierigkeiten. Ein Mitbewerber des Rechenzentrumsbetreibers bietet nun diesem Mitarbeiter eine hohe Summe an Geld, wenn dieser ihm Zugriff auf die Daten, die in der virtuellen Maschine verarbeitet werden, verschafft.

Der Mitarbeiter erzeugt infolgedessen auf dem Virtualisierungsserver einen Snapshot der virtuellen Maschine im laufenden Betrieb. In dem Snapshot sind die Arbeitsspeicherinhalte sowie der Prozessorzustand des virtuellen IT-Systems enthalten. Er kopiert die Konfigurationsdatei, den Festplattencontainer, den Inhalt des Arbeitsspeichers und den CPU -Zustand der virtuellen Maschine auf einen transportablen Massenspeicher und verlässt mit diesem die Institution.

Die Kopie der virtuellen Maschine kann jetzt auf dem Virtualisierungsserver des Mitbewerbers ausgeführt werden. Da der Virtualisierungsserver die Laufzeitumgebung der virtuellen Maschine aus den gespeicherten Daten wiederherstellt, erfolgt keine Passwortabfrage durch das Festplattenverschlüsselungsprogramm. Das Betriebssystem in der virtuellen Maschine "bemerkt" nichts von dieser Betriebsunterbrechung.

Der Angreifer versucht durch Brute Force-Attacken die Kennwörter der berechtigten Benutzer zu ermitteln. Um den Vorgang zu beschleunigen, erzeugt er mehrere Kopien der virtuellen Maschine. Wird ein Konto aufgrund der Fehlversuche gesperrt, setzt er die virtuelle Maschine wieder auf den Zustand vor der Kontensperre zurück und fährt mit der Brute Force-Attacke fort.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK