Verbesserung Hypervisor-Sicherheit

In den letzten Tagen sind erneut sicherheitskritische Updates durch Hypervisor-Plattformen veröffentlicht worden. Wie heise-Online berichtete, sind VMware Anwendungen ein Sprungbrett für Angreifer.

Rückblick

Vor einigen Jahren noch galt es als Teil des Informations-Sicherheits-Konzepts, Applikationen und Server zu virtualisieren. Nicht nur, dass die Hardware der genutzten Systeme dabei besser ausgenutzt wird. Auch aus dem Sicherheitsaspekt heraus galt dieses Vorgehen als sinnvoll, um Systeme zu kapseln und gleichzeitig Ressourcen zu sparen.

Zugang vom Hypervisor auf die virtuellen Umgebungen

Ein Grund, warum diese Vorgehensweise als positiver Sicherheitsaspekt wahrgenommen wurde, lag darin, dass man davon ausging, dass es einem Angreifer nicht gelingt, von der virtuellen Umgebung auszubrechen, um so Zugriff auf weitere, virtuelle Umgebungen zu erhalten.

Diese Fehleinschätzung ist bereits lange widerlegt, der Ausbruch aus virtuellen Umgebungen ist in der Vergangenheit bereits gelungen.

Die Virtualisierung ist bei der Bereitstellung von Business-Services ein wichtiger Bestandteil, um die Kosten für on-premise Lösungen nicht ausufern zu lassen. Doch Teil dieser Bereitstellung sollte auch eine Betrachtung der verschiedenen Sicherheitsebenen der Infrastruktur sein. Der Hypervisor darf hier nicht außer Acht gelassen werden.

Resilienz-Betrachtung

Wo gehobelt wird, fallen Späne. Oder in die IT-Welt übersetzt: wo Software-Entwicklung stattfindet, gibt es auch Bugs und Sicherheitslücken, die Angreifer ausnutzen können.

Die Resilienz-Betrachtung ermöglicht es, die Widerstandsfähigkeit von IT-Systemen softwaregestützt und rückwirkungsfrei zu untersuchen. Dabei quantifiziert die Software securiCAD auf Basis eines quantitativen Messwerts time to compromise, wie lange ein Angreifer statistisch gesehen benötigt, um ein System vollständig zu übernehmen, also zu kompromittieren.

Strukturelle Schwachstellen finden

Bei der Resilienz-Betrachtung geht es nicht alleine darum, Schwachstellen zu finden. Vielmehr ist das Ziel, komplexe Zusammenhänge der Infrastruktur herzustellen, um zu analysieren, welche Schwachstellen welche Auswirkungen auf die Widerstandsfähigkeit des gesamten Netzes haben.

Nimmt man die virtualisierten Infrastrukturen innerhalb des Hypervisors als Ziel, so können verschiedene Wege für den Angreifer möglich sein. Durch die Modellierung und Analyse dieser Infrastruktur im digitalen Zwilling (basierend auf CAD – computer aided design), werden die technisch möglichen Wege identifiziert und bewertbar gemacht, ohne den Betrieb zu stören.

Maßnahmen ableiten und priorisieren

Im Zuge der Resilienz-Überprüfung werden alle technisch möglichen Wege zwischen Angreifer und dem Ziel Hypervisor auf Ihr Angriffspotenzial hin bewertet. Diese Ergebnisse werden im Anschluss priorisiert, sodass sich erkennen lässt, welche Einstiegspunkte in der Infrastruktur existieren, über die der Angreifer möglichst gut an sein Ziel kommt.

Dabei sorgt die Sicherheitsbetrachtung aus der Angreifer-Perspektive dafür, dass nicht die Frage gestellt wird, ob das aktuelle Sicherheitssystem funktioniert. Es wird gefragt, was würde ich als Angreifer tun?

Durch die softwaregestützte Analyse wird dieses Vorhaben automatisiert und quantitativ bewertbar gemacht. Die identifizierten Schwachstellen werden entlang des Angriffspotenzials bewertet und so eine Entscheidungsvorlage generiert, die verschiedene technische Optionen gegeneinander abwägt.

Zur Veranschaulichung wurde ein securiCAD Modell erstellt, dass den Hypervisor in einem kleinen Netzwerk beschreibt. Mehrere virtuelle Umgebungen werden durch das Virtualisierungssystem bereitgestellt.

Für die Analyse selbst wird der Hypervisor mit seinen logischen Komponenten beschrieben.

Die Resilienz-Messung geht davon aus, dass ein Angreifer aus dem Internet versucht, den Hypervisor (1) sowie die virtualisierte Umgebung (2) zu korrumpieren.

Die aktuell bekannte Schwachstelle ist eine clientseitige, über die der Zugriff auf die VM-Daten möglich ist. In unserem Beispiel-Modell ist der Windows 10 PC, von dem aus der Zugriff auf die Systeme stattfindet, nur im lokalen Netzwerk verbunden, was einen Angriff dieses Systems über das Internet erschwert. Ist dieser Windows 10 PC darüber hinaus verstärkt im Internet unterwegs, ergibt sich ein weiterer Angriffsweg.

Die attraktivsten Ansatzpunkte für einen Angriff aus dem Internet in Richtung des Hypervisors und der VM-Daten sieht in unserem Fall wie folgt aus:

Hier fällt als erstes auf, dass der Hypervisor selbst ein Risiko darstellt, da er nicht auf dem aktuellsten Update-Stand ist. Außerdem ist die Authentifizierung, die genutzt wird, nicht gehärtet und lässt deshalb ebenfalls Zugriff auf die Systeme mit einfachen Angriffsmethoden zu.

Aus diesem Szenario wird ein Angriffspfad erzeugt, der den Weg des Angreifers aus dem Internet auf das System zeigt. Dabei wird der wahrscheinlichste Pfad abgeleitet, der für den Angreifer am meisten Erfolg verspricht. Dieser Weg wird über die grün hervorgehobenen Kreise direkt mit Gegenmaßnahmen zu erkannten Schwachstellen befüllt.

Werden die identifizierten Verbesserungen in einem zweiten Modell direkt umgesetzt, zeigt sich, welche Schwachstellen im Anschluss an die Härtung der Authentifizierung am attraktivsten sind.

Die Grafik der Engstellen zeigt, dass die Authentifizierung nun nicht mehr Teil der attraktivsten Angriffswege ist. Dafür rücken andere Ansatzpunkte in den Fokus.

Im Zuge der Härtung werden deshalb im nächsten Schritt die Systeme mit aktuellsten Updates und Patches versorgt, sodass softwareseitige Schwachstellen behoben sind. Darüber hinaus wird der Hypervisor strukturell gehärtet und ungenutzte Ports geschlossen.

Um eine Entscheidung zu treffen, welche Maßnahmen in welchem Zeitraum umgesetzt werden, können die verschiedenen Infrastruktur-Simulationen miteinander verglichen werden.

Die Ausgangssituation im unteren Beispiel ist ein Hypervisor, welcher ins Netzwerk integriert ist und bereits über eine gute Authentifizierung verfügt. Die oben beschriebenen Authentifizierungs-Schwachstellen wurden also bereits behoben.

Der nächste Schritt ist die Aktualisierung der Software auf den letzten Stand.

Im Anschluss wurde der Hypervisor umfassend gehärtet, alle ungenutzten Ports deaktiviert, die Verschlüsselung der Hypervisor-Daten überprüft.

Im Vergleich ist zu erkennen, dass das Patchen in jedem Fall ein sinnvoller Schritt ist, um den Hypervisor gegenüber Angriffen zu schützen. Es ist jedoch nicht der einzige Schritt, der unternommen werden sollte, um das System sowie die darauf betriebenen virtuellen Maschinen widerstandsfähig zu machen.

Sie haben Fragen zu diesem Artikel?

Sprechen Sie uns an!

Kontakt

Menü