© Chaliya/Shutterstock.com, © S&S Media
Die Cloud als potenzieller Schwachstellenmultiplikator

Alles nur (ge)Cloud?


Es ist schon wieder einige Zeit her, dass ich mich in einem Artikel mit der Sicherheit der Cloud beschäftigt habe [1]. Nicht nur deswegen, sondern auch aus aktuellem Anlass wird es mal wieder Zeit dafür.

Video: Datenanalysen in der Cloud mit Hadoop

Dass „Cloud“ nur ein anderer Begriff für „Computer eines anderen“ ist, haben Sie sicher schon des Öfteren gehört. Das ist auch erst einmal nichts Schlimmes. Viele Webserver beispielsweise sind nur als Root-Server gemietet; der Betreiber hat zwar die vollständige Kontrolle über den Server, ebendieser gehört aber nach wie vor dem Hoster. Zum Problem wird das in der Cloud vor allem aus zwei Gründen:

  • Es ist kein wirklicher Computer, sondern nur ein virtueller, von dem i. A. mehrere auf einer Hardware laufen. Wenn dann auch nur in einem dieser virtuellen Computer Schadsoftware läuft oder er sogar einem Cyberkriminellen gehört, kann von dort aus auf alle anderen virtuellen Computer zugegriffen werden. Immer vorausgesetzt, es gibt eine entsprechende Schwachstelle, was man leider nicht ausschließen kann; aber darauf werde ich später noch zurückkommen. Sogar gleich nach dem zweiten Punkt, denn der oben erwähnte aktuelle Anlass ist eine solche Schwachstelle.

  • Auf dem Cloud-Rechner läuft meist nicht nur ein Webserver, auf dem zum größten Teil nur sowieso zur Veröffentlichung vorgesehene Daten gespeichert sind, sondern alles Mögliche, was vertrauliche Daten verarbeitet oder bereitstellt. Das macht einen Angriff natürlich umso reizvoller.

Beides zusammen ist eine gefährliche Kombination. Und das Ganze wird noch gefährlicher, wenn es Schwachstellen gibt, über die der Ausbruch aus einer virtuellen Maschine möglich ist. Und das bringt uns zum aktuellen Anlass: Spectre und Meltdown, deren erste Versionen im Januar vorgestellt wurden [2] und die zuletzt im Juli um Spectre 1.1 und 1.2 [3] ergänzt wurden. Dazu gehört (mindestens) eine Schwachstelle, die speziell die Cloud bedroht, und die ist auch noch offen. Aber der Reihe nach.

„Spectre und Meltdown sind nur gefährlich, wenn schon Schadcode läuft“

In fast allen Berichten zu Spectre und Meltdown, auch zu den bisher aktuellsten Versionen, wird darauf herumgeritten, dass diese Schwachstellen nur ausgenutzt werden können, wenn bereits Schadcode auf dem Rechner läuft. Das ist zwar erst einmal richtig, aber so ganz unwahrscheinlich ist das ja nun i. A. auch nicht, sonst gäbe es ja nicht so viele Schädlinge „in the wild“. Die könnten Spectre und Meltdown (und alle in Zukunft noch auftauchenden Schwachstellen aus dieser Kategorie) ausnutzen, um aus Sandboxen auszubrechen, sich höhere Rechte zu verschaffen und damit den Schaden zu vergrößern. Dass sie es bisher nicht tun, liegt einfach daran, dass es genug einfachere Wege gibt, das gewünschte Ziel zu erreichen.

Was aber gerne übersehen wird, sind zwei andere Aspekte. Erstens gibt es eine ganz einfache Möglichkeit, von außen bösartigen Code auf einem Rechner auszuführen: Man muss ihn nur als JavaScript-Code in eine Website einfügen. Zu Spectre gab es von Anfang an auch JavaScript-PoC-Code; der Angriff ist also grundsätzlich möglich. Dass die Cyberkriminellen ihn (zumindest soweit bekannt ist) bisher nicht nutzen, dürfte daran liegen, dass zum einen die Browserhersteller sofort nach der Veröffentlichung von Spectre und Meltdown erste Schutzmaßnahmen ergriffen und diese seitdem ausgebaut haben und die Cyberkriminellen zum anderen ihre bisherigen Hauptziele auch ohne Spectre/Meltdown bei Angriffen auf und über den Browser erreichen: Die Verbreitung von Schadcode über Drive-by-Infektionen und seit vorigem Jahr das Minen von Kryptowährungen im Browser.

Zweitens gibt es Rechner, die sogar dafür gedacht sind, dass darauf Code verschiedener Benutzer ausgeführt wird – eben die Cloud. Dabei wird zwar auf die Trennung der verschiedenen Benutzer-„Rechner“ geachtet, aber gerade das Unterlaufen so einer Trennung ist ja das Ziel eines Spectre-/Meltdown-Angriffs. Bisher sind auch hier keine Angriffe „in the wild“ bekannt geworden – aber was nicht ist, kann ja noch werden.

Die PoCs demonstrieren zwar immer nur den Ausbruch aus einer Sandbox, aber der Ausbruch aus einer VM läuft i. A. nach den gleichen Prinzipien ab, nur eben quasi eine Nummer größer/höher. Und bis zum Beweis des Gegenteils würde ich sicherheitshalber immer davon ausgehen, dass die Schwachstellen auch den Ausbruch aus VMs erlauben. Zumal man sie sowieso so schnell wie möglich patchen muss, denn den Ausbruch von Schadcode aus einer Sandbox möchte man generell nicht haben. Egal ob diese Sandbox nun auf Hardware ausgeführt wird, in einer VM auf einem Desktoprechner, Server oder in einer VM in der Cloud. Zum Glück waren die Cloud-Betreiber bisher recht fix, wenn es um das Patchen der Schwachstellen ging.

Das Spectre-NG-Damoklesschwert über der Cloud

Als Spectre-NG werden acht Schwachstellen bezeichnet, für die Intel im Mai 2018 CVE IDs reserviert hat. Die c’t hat exklusiv darüber berichtet [4], und da man nicht viel mehr wusste, als dass eben die CVE IDs reserviert wurden und dass es sich um Spectre-ähnliche Schwachstellen handelt, hat man diese neuen Schwachstellen als Spectre Next Generation (Spectre-NG) bezeichnet.

Eine der Schwachstellen soll insbesondere für Cloud-Umgebungen gefährlich sein. Ein Angreifer kann seinen Exploit-Code in einer virtuellen Maschine starten und von dort aus das Wirtssystem übernehmen – in der Cloud also den Server, auf dem seine VM läuft.

Zur Einordnung: Die größeren Hersteller wie z. B. Microsoft reservieren sich regelmäßig größere Mengen CVE IDs auf Vorrat, die sie dann nach und nach verwenden. Intel hat die bisher veröffentlichten CVE IDs sogar schon im Dezember 2017 reserviert, wie man den CVE-Einträgen im Feld Date Entry Created entnehmen kann.

Wer bei jeder dieser Massenbestellungen Schnappatmung bekommt, sollte vielleicht den Rat von Helmut Schmidt zu Visionen berücksichtigen und zum Arzt gehen. Interessant wird das Ganze in diesem Fall aber dadurch, dass durchgesickert ist, dass (mindestens) acht dieser in Blöcken reservierten IDs für Spectre-Schwachstellen vorgesehen sind. Aber ich wage jetzt mal einen Blick in die virtuelle Glaskugel und behaupte, dass da noch deutlich mehr Spectre-artige Schwachstellen als diese acht folgen werden. Die Sicherheitsforscher fangen ja gerade erst an, sich mit den CPUs zu beschäftigen. Da werden sicher noch etliche Schwachstellen auftauchen. Leider hat die c’t im Mai nicht mal die CVE IDs verraten, sodass man jetzt nicht weiß, welche neu vorgestellten Intel-Schwachstellen zu den Spectre-NG-Schwachstellen gehören und welche nicht.

Welche ...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang