Entendendo a vulnerabilidade VENOM

Jason Geffner, um pesquisador de segurança da Crowdstrike, divulgou informações sobre uma nova vulnerabilidade de buffer não selecionado chamada vulnerabilidade VENOM que está afetando a plataforma de virtualização de código aberto QEMU, que fornece recursos de virtualização semelhantes ao VMware ou Hyper-V da Microsoft.

Os relatórios iniciais indicam que essa é uma vulnerabilidade grave mas com alcance geral limitado. Essa situação deve ser tratada como séria, mas não como uma crise ampla como o “Heartbleed”, por exemplo.

A Vulnerabilidade

A vulnerabilidade de buffer não selecionado (CVE-2015-3456) ocorre no código do controlador de disquete virtual do QEMU. Um ataque bem-sucedido no buffer overflow explorando essa vulnerabilidade pode permitir que um agressor execute seu código no contexto de segurança do hypervisor, escapando do sistema operacional guest para obter o controle de todo o host.

Como o QEMU é um pacote de código aberto é quase impossível saber todos os produtos e serviços que foram afetados. Porém, a Crowdstrike indicou que ele afeta o Xen, KVM e o cliente nativo QEMU.

Nós sabemos que nem os produtos de virtualização da VMware, nem da Microsoft são vulneráveis. A Amazon também afirmou que sua plataforma AWS não foi afetada.

QEMU e XEN já têm patches disponíveis. Outros fornecedores provavelmente também já estão desenvolvendo patches.

Os Riscos

Em termos da vulnerabilidade em si, um determinado agressor pode comprometer todas as instâncias no host. Um host comprometido também poderia ser usado para realizar ataques de movimento lateral contra o ambiente do host, colocando outros hosts e instâncias virtuais em risco. Para fazer isso, um agressor precisaria ter uma máquina virtual no host vulnerável e ser capaz de carregar e executar um código de sua escolha no host. O agressor também precisaria ter privilégios de administrador no SO guest. Nesse ponto, o agressor poderia assumir o controle do host e potencialmente se aproveitar do host comprometido para lançar outros ataques na rede.

Para os ambientes que têm o código vulnerável em seus sistemas, essa é uma vulnerabilidade muito grave que deve ser resolvida o mais rápido possível. Semelhante a outras vulnerabilidades de código aberto, como Heartbleed e Shellshock, obter e implementar patches será difícil devido à natureza fragmentada do ecosssitema. Os administradores devem estar preparados para essas dificuldades, planejando contingências para reduzir esses riscos.

As Ramificações

Embora essa não seja uma vulnerabilidade que pareça afetar o setor tão amplamente como as outras, é uma vulnerabilidade de evasão de máquina virtual na configuração padrão: esse é o pior tipo de vulnerabilidade para os ambientes de máquina virtual. Mesmo que você não tenha sido afetado diretamente por essa vulnerabilidade, se você tem máquinas virtuais em seu ambiente, deveria usar essa nova vulnerabilidade como um sinal de que é hora de planejar suas respostas e mitigações para quando uma vulnerabilidade como essa afetar seu ambiente.

Continue acompanhando nosso blog, confira as melhores dicas de segurança e saiba como se proteger na rede! Algum comentário sobre essa postagem? Fale com a gente no twitter @TrendMicroBR!