r   e   k   l   a   m   a
r   e   k   l   a   m   a

Qubes OS podatny na atak: przełamanie hiperwizora pozwala na wszystko

Strona główna AktualnościBEZPIECZEŃSTWO

W świecie dziurawego jak sito oprogramowania, Qubes OS miał być systemową odpowiedzią na potrzeby bezpieczeństwa. Joanna Rutkowska ze swoim zespołem zdołała przygotować coś unikatowego. Ani monolityczny kernel, ani mikrokernel, ale hiperwizor, pod którego kontrolą działają izolowane maszyny wirtualne, odpowiadające za poszczególne funkcje systemu. Takie bezpieczeństwo przez wirtualizację, w dodatku funkcjonalne, pozwalające uruchamiać linuksowe i windowsowe oprogramowanie na dopracowanym pulpicie. Jednak i Qubes OS okazał się podatny na atak. Zawiodło samo serce systemu.

Jann Horn z Google Project Zero odkrył w hiperwizorze Xen lukę oznaczoną jako XSA 212, wprowadzoną zresztą przez jedną z ostatnich aktualizacji – występuje ona we wszystkich wersjach od 4.6.4 do 4.6.26 dla 64-bitowych systemów x86. Niewystarczające sprawdzenie danych na wejściu hiperwywołania XENMEM_exchange pozwala napastnikowi na uzyskanie dostępu do pamięci poza zakresami dopuszczonymi w dostępnej mu maszynie wirtualnej.

Qubes OS w wersjach 3.1 i 3.2 pracuje pod kontrolą podatnych wersji Xena, tak więc napastnik, który wykorzysta ten błąd jest w stanie przebić się przez wprowadzoną przez ten system izolację i zapisać dowolne miejsce pamięci. Wystarczy np. udany exploit maszyny wirtualnej zawierającej przeglądarkę, stos sieciowy czy podsystem USB (normalnie od siebie izolowane), a będzie mógł przejąć cały host z Qubes OS-em, zawiesić system, wydobyć z niego wrażliwe dane, a nawet uzyskać uprawnienia administracyjne.

r   e   k   l   a   m   a

Deweloperzy Qubes OS-a informując o błędzie w swoim biuletynie bezpieczeństwa, zwracają uwagę na to, że błąd wynika przede wszystkim z nadmiernie skomplikowanego zarządzania pamięcią przy parawirtualizowanych maszynach, z jakich domyślnie Xen korzysta. W parawirtualizacji system gość współpracuje z hostem, aby uniknąć kolizji z innymi wirtualizowanymi systemami, niejako więc „zna” swój status jako systemu zwirtualizowanego.

Przygotowywana obecnie wersja 4.0 Qubes OS-a porzuca parawirtualizację. Zarządzanie zwirtualizowaną pamięcią będzie realizowane na poziomie sprzętowym (HVM), poprzez tzw. translację adresów drugiego poziomu (SLAT). Parawirtualizacja (PV) wcześniej była masowo wykorzystywana ze względu na jej lepszą wydajność, jak i wcześniejsze ograniczenia HVM – pozwalające na obsługę wyłącznie procesorów. Nowsze generacje procesorów, które obsługują technologię w żargonie Intela znaną jako EPT (Extended Page Tables), a w żargonie AMD jako RVI (Rapid Virtualization Indexing), nie mają już tych ograniczeń, pozwalają na pełną sprzętową wirtualizację pamięci. Oznacza to jednak zarazem, że w przyszłości już na starszych maszynach Qubes OS-a nie uruchomimy.

W przyszłości możemy mieć więc nadzieję, że Qubes OS będzie odporny na takie luki w hiperwizorze jak ta XSA 212, czy wcześniejsza XSA 148 – dotyczyły one właśnie sparawirtualizowanych maszyn. Niemniej jednak warto zauważyć, że jak do tej pory sam system zespołu Joanny Rutkowskiej wypada bardzo dobrze w kwestii bezpieczeństwa. Dotknęło go jak dotąd niespełna 10% odkrytych podatności hiperwizora Xen, nie są znane żadne wypadki udanego spenetrowania jego zabezpieczeń przez szkodliwy kod.

Jeśli więc szukacie całkiem bezpiecznego systemu operacyjnego, używanego m.in. przez demaskatora działań NSA – Edwarda Snowdena i słynnego kryptologa Daniela J. Bernsteina – to zapraszamy na strony projektu. Łatki dla odkrytej luki w Xenie zostały oczywiście już udostępnione.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.