© istockphoto.com/dedMazay
Windows Developer
Wenn Cyberkriminelle die VM übernehmen

Wie sicher sind virtuelle Maschinen?


Was passiert, wenn ein Cyberkrimineller eine virtuelle Maschine übernimmt? Hängt er dann darin fest oder kann er sie verlassen und das zugrunde liegende System, womöglich eine Cloud, oder zumindest „benachbarte“ virtuelle Maschinen übernehmen? Merkt er denn überhaupt, dass er keinen richtigen Rechner, sondern nur einen virtuellen übernommen hat?

Bevor es an die Beantwortung der Fragen geht, schauen wir uns erst einmal an, was Cyberkriminelle schon seit Langem können, zum Beispiel aus virtuellen Maschinen (VM) ausbrechen – der von Java nämlich. Lange Zeit war das Java-Plug-in Haupteinfallstor für Drive-by-Infektionen. Aus dem einfachen Grund, dass die Angreifer darin bereits beliebigen Code ausführen können, sie müssen „nur noch“ aus der Sandbox der VM ausbrechen, um das eigentliche System zu kompromittieren. Und Schwachstellen, die diesen Ausbruch erlauben, gab es immer mehr als genug. Oracle kam mit dem Patchen teilweise gar nicht mehr nach, so schnell tauchten die 0-Day Exploits auf. Die Angriffe gingen in den letzten Jahren zurück, was aber nicht am Fehlen brauchbarer Schwachstellen lag. Nach wie vor patcht Oracle am vierteljährlichen Patchday immer wieder Unmengen an Java-Schwachstellen, und die meisten davon betreffen das Java-Plug-in.

Der Rückgang der Angriffe hat eine andere Ursache: Durch die Einführung von „Click-to-Play“ ist kein unbemerkter Angriff mehr möglich, der Benutzer muss der Ausführung des Java-Plug-ins zustimmen, bevor das Java-Applet und damit der Exploit aktiv werden können. Was die meisten Benutzer sicher bedenkenlos machen werden, vor allem, wenn Cyberkriminelle mit Social Engineering nachhelfen. Aber warum sollten sich Cyberkriminelle die Mühe machen, ihre Opfer zum Aktivieren des Java-Plug-ins zu überreden, wenn sie stattdessen auch sofort ausnutzbare Schwachstellen verwenden können? Zum Beispiel im Flash Player, der dadurch zum aktuell beliebtesten Einfallstor wurde – bisher gab es 2015 sechzehn 0-Day Exploits, und acht davon gingen auf das Konto des Flash Players [1].

Aber bei Bedarf greifen zumindest die Hintermänner der gezielten Angriffe im Rahmen von „Advanced Persistant Threats“ auch 2015 noch auf einen 0-Day Exploit für Java zurück [2]. Vor allem, wenn sie diesen mit einem weiteren 0-Day Exploit verknüpfen können, über den sie das Click-to-Play umgehen und den Angriff unbemerkt von Benutzern durchführen können [3].

Aber das alles interessiert hier nur am Rande, halten wir einfach einmal fest, dass der Ausbruch aus eine...

Windows Developer
Wenn Cyberkriminelle die VM übernehmen

Wie sicher sind virtuelle Maschinen?

Was passiert, wenn ein Cyberkrimineller eine virtuelle Maschine übernimmt? Hängt er dann darin fest oder kann er sie verlassen und das zugrunde liegende System, womöglich eine Cloud, oder zumindest „benachbarte“ virtuelle Maschinen übernehmen? Merkt er denn überhaupt, dass er keinen richtigen Rechner, sondern nur einen virtuellen übernommen hat?

Carsten Eilers


Was passiert, wenn ein Cyberkrimineller eine virtuelle Maschine übernimmt? Hängt er dann darin fest oder kann er sie verlassen und das zugrunde liegende System, womöglich eine Cloud, oder zumindest „benachbarte“ virtuelle Maschinen übernehmen? Merkt er denn überhaupt, dass er keinen richtigen Rechner, sondern nur einen virtuellen übernommen hat?

Bevor es an die Beantwortung der Fragen geht, schauen wir uns erst einmal an, was Cyberkriminelle schon seit Langem können, zum Beispiel aus virtuellen Maschinen (VM) ausbrechen – der von Java nämlich. Lange Zeit war das Java-Plug-in Haupteinfallstor für Drive-by-Infektionen. Aus dem einfachen Grund, dass die Angreifer darin bereits beliebigen Code ausführen können, sie müssen „nur noch“ aus der Sandbox der VM ausbrechen, um das eigentliche System zu kompromittieren. Und Schwachstellen, die diesen Ausbruch erlauben, gab es immer mehr als genug. Oracle kam mit dem Patchen teilweise gar nicht mehr nach, so schnell tauchten die 0-Day Exploits auf. Die Angriffe gingen in den letzten Jahren zurück, was aber nicht am Fehlen brauchbarer Schwachstellen lag. Nach wie vor patcht Oracle am vierteljährlichen Patchday immer wieder Unmengen an Java-Schwachstellen, und die meisten davon betreffen das Java-Plug-in.

Der Rückgang der Angriffe hat eine andere Ursache: Durch die Einführung von „Click-to-Play“ ist kein unbemerkter Angriff mehr möglich, der Benutzer muss der Ausführung des Java-Plug-ins zustimmen, bevor das Java-Applet und damit der Exploit aktiv werden können. Was die meisten Benutzer sicher bedenkenlos machen werden, vor allem, wenn Cyberkriminelle mit Social Engineering nachhelfen. Aber warum sollten sich Cyberkriminelle die Mühe machen, ihre Opfer zum Aktivieren des Java-Plug-ins zu überreden, wenn sie stattdessen auch sofort ausnutzbare Schwachstellen verwenden können? Zum Beispiel im Flash Player, der dadurch zum aktuell beliebtesten Einfallstor wurde – bisher gab es 2015 sechzehn 0-Day Exploits, und acht davon gingen auf das Konto des Flash Players [1].

Aber bei Bedarf greifen zumindest die Hintermänner der gezielten Angriffe im Rahmen von „Advanced Persistant Threats“ auch 2015 noch auf einen 0-Day Exploit für Java zurück [2]. Vor allem, wenn sie diesen mit einem weiteren 0-Day Exploit verknüpfen können, über den sie das Click-to-Play umgehen und den Angriff unbemerkt von Benutzern durchführen können [3].

Aber das alles interessiert hier nur am Rande, halten wir einfach einmal fest, dass der Ausbruch aus eine...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang