x86-Bug gefährdet Hyper-V, Xen und KVM
Xen, Microsofts HyperV, KVM sowie andere Hypervisor-Lösungen leiden an einem x86-Exception Bug, der zu weitreichenden Denial-of-Services-Attacken missbraucht werden kann.
Ein Fehler in der Architektur x86, die beispielsweise Grundlage für Intels Xeon-Chips ist, kann dazu führen, dass ein Angreifer über einen Hypervisor die gesamte CPU unbrauchbar macht. Wie Xen.org in einem Advisory mitteilt, seien alles x86-CPUs von allen Herstellern sowie sämtliche Hypervisoren für x86 von dem Problem betroffen. Nicht betroffen sind x86 PV VMs sowie ARM-CPUs. Ob das Leck bereits aktiv ausgenutzt wird, ist nicht bekannt.
In bestimmten Fällen kommt es in der CPU dazu, dass es bei der Behandlung von zwei Ausnahmen gleichzeitig zu einer unendlichen Schleife innerhalb des Prozessors kommt und das obwohl es durch die Architektur vorgegeben ist, dass diese Behandlungen eigentlich sequentiell abgearbeitet werden. Bei virtualisierten Umgebungen lässt sich diese Loop lediglich durch den Stop der Ausnahme-Behandlung unterbrechen.
Dadurch kann ein Administrator einer virtuellen Maschine eine Denial of Service Attacke provozieren und gegebenenfalls die CPU vollständig unbrauchbar machen. Dadurch lassen sich auch andere Gastsysteme, die auf der selben CPU angesiedelt sind attackieren. Ebenso kann ein Angreifer unter Umständen Administratorrechte erlangen und damit das gesamte System unter seine Kontrolle bringen.
Microsoft veröffentlicht in dem Advisory 3108638 für die beiden Fehler CVE-2015-5307 (Endlosschleife) und CVE-2015-8104 (Endlosschleife oder Stack-Fehler) Updates für Windows Server 2008 und 2012 sowie Windows 8.0, 8.1 und 10. Damit ein Gast, dieses Leck ausnutzen kann, muss er über Berechtigungen zur Codeausführung im Kernelmodus verfügen.
Daneben veröffentlicht auch Red Hat ein Update, da Red Hat Enterprise Linux mit KVM und Xen ausliefert, betroffen sind in diesem Fall die RHEL-Versionen 6 und 7. Auch Citrix veröffentlicht Patches für sämtliche unterstützte Versionen des Xen-Servers, wie auch der Hersteller A10 Networks. Anwender von anderen Linux-Derivaten, die Xen oder KVM nutzen, sollten ebenfalls die Verfügbarkeit von Patches prüfen.
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de