Qubes OS podatny na atak: przełamanie hiperwizora pozwala na wszystko

W świecie dziurawego jak sito oprogramowania, Qubes OS miał byćsystemową odpowiedzią na potrzeby bezpieczeństwa. Joanna Rutkowskaze swoim zespołem zdołała przygotować coś unikatowego. Animonolityczny kernel, ani mikrokernel, ale hiperwizor, pod któregokontrolą działają izolowane maszyny wirtualne, odpowiadające zaposzczególne funkcje systemu. Takie bezpieczeństwo przezwirtualizację, w dodatku funkcjonalne, pozwalające uruchamiaćlinuksowe i windowsowe oprogramowanie na dopracowanym pulpicie.Jednak i Qubes OS okazał się podatny na atak. Zawiodło samo sercesystemu.

Jann Horn z Google Project Zero odkrył w hiperwizorze Xen lukęoznaczoną jako XSA 212, wprowadzoną zresztą przez jedną zostatnich aktualizacji – występuje ona we wszystkich wersjach od4.6.4 do 4.6.26 dla 64-bitowych systemów x86. Niewystarczającesprawdzenie danych na wejściu hiperwywołania XENMEM_exchangepozwala napastnikowi na uzyskanie dostępu do pamięci poza zakresamidopuszczonymi w dostępnej mu maszynie wirtualnej.

Qubes OS w wersjach 3.1 i 3.2 pracuje pod kontrolą podatnychwersji Xena, tak więc napastnik, który wykorzysta ten błąd jest wstanie przebić się przez wprowadzoną przez ten system izolację izapisać dowolne miejsce pamięci. Wystarczy np. udany exploitmaszyny wirtualnej zawierającej przeglądarkę, stos sieciowy czypodsystem USB (normalnie od siebie izolowane), a będzie mógłprzejąć cały host z Qubes OS-em, zawiesić system, wydobyć zniego wrażliwe dane, a nawet uzyskać uprawnienia administracyjne.

Deweloperzy Qubes OS-a informując o błędzie w swoim biuletyniebezpieczeństwa, zwracają uwagę na to, że błąd wynika przedewszystkim z nadmiernie skomplikowanego zarządzania pamięcią przyparawirtualizowanych maszynach, z jakich domyślnie Xen korzysta. Wparawirtualizacji system gość współpracuje z hostem, aby uniknąćkolizji z innymi wirtualizowanymi systemami, niejako więc „zna”swój status jako systemu zwirtualizowanego.

Przygotowywana obecnie wersja 4.0 Qubes OS-a porzucaparawirtualizację. Zarządzanie zwirtualizowaną pamięcią będzierealizowane na poziomie sprzętowym (HVM), poprzez tzw. translacjęadresów drugiego poziomu (SLAT). Parawirtualizacja (PV) wcześniejbyła masowo wykorzystywana ze względu na jej lepszą wydajność,jak i wcześniejsze ograniczenia HVM – pozwalające na obsługęwyłącznie procesorów. Nowsze generacje procesorów, któreobsługują technologię w żargonie Intela znaną jako EPT (ExtendedPage Tables), a w żargonie AMD jako RVI (Rapid VirtualizationIndexing), nie mają już tych ograniczeń, pozwalają na pełnąsprzętową wirtualizację pamięci. Oznacza to jednak zarazem, że wprzyszłości już na starszych maszynach Qubes OS-a nie uruchomimy.

W przyszłości możemy mieć więc nadzieję, że Qubes OS będzieodporny na takie luki w hiperwizorze jak ta XSA 212, czy wcześniejszaXSA 148 – dotyczyły one właśnie sparawirtualizowanych maszyn.Niemniej jednak warto zauważyć, że jak do tej pory sam systemzespołu Joanny Rutkowskiej wypada bardzo dobrze w kwestiibezpieczeństwa. Dotknęło go jak dotąd niespełna 10% odkrytychpodatności hiperwizora Xen, nie są znane żadne wypadki udanegospenetrowania jego zabezpieczeń przez szkodliwy kod.

Jeśli więc szukacie całkiem bezpiecznego systemu operacyjnego,używanego m.in. przez demaskatora działań NSA – Edwarda Snowdenai słynnego kryptologa Daniela J. Bernsteina – to zapraszamy nastrony projektu. Łatki dla odkrytej luki w Xenie zostały oczywiście już udostępnione.