This post is about my journey into researching a security compromise of ESXi and the VMware framework as a whole.

The essence of the following attack was devised in a lab that I had built over a course of a few months and consisted of the following components:-

The design flaw that I discovered on my journey is serious and is easily repeatable and has serious consequences for anyone concerned about data security in their own environment and in the cloud.

The attack is carried out in two stages and relies on being able to deploy a “rogue” virtual machine and by rogue I mean a virtual machine that has had its configuration changed with the intent of exposing data directly from the hypervisor. In other words a form of “VM Escape”.

I should point out that although in my Lab environment I had full administrative privileges to the VMware environment, this attack in production environments does NOT require admin or root privileges to be effective!

Stage 1 – Creating the Rogue VM

The first stage of this attack involved creating a virtual machine with a vanilla OS. I chose to use Ubuntu purely because it was free and easy to setup. I later went on to create a VM that was much smaller in size, but more about that later.

Once the VM was built I then shut it down and edited it’s configuration file to allow it to try and expose the hypervisor using an RDM. This of course should not be possible but as you will see playing around with the config revealed some interesting results….

Findings

After a few trial and errors I was able to successfully read the scratch log files on the host by changing the config of the VM to point to the log files in /scratch directory, something that should not be possible.

In order to read the log files on the host you somehow have to mount the filesystem on the VM which you cannot do directly. Fortunately on linux the loopback interface comes in handy for this! You also have to specify the offset of the disk correctly otherwise as I discovered in my testing you will purple screen the Host, not something you want to be doing in production or then again maybe you do!

Stage 2 – Exploiting the attack with Rogue VM Number 2!

Once you have successfully read the log file from the method described in Stage 1 you will be able to determine the disk layout of the host and use that information to then configure your second vm with an RDM pointing to the vmfs volume. Then it’s game over!

In my next post I will follow up with some practical defense strategies that could be used to prevent this type of attack from ever happening. In the mean time this should give you something to think about and if you are looking to move your data to the cloud question your service provider to see what and if they are doing about this!

New Features:-

To Register enter your details in the free trial download form on our download page.

What’s needed is a new approach which is easy to say in words, but based on my experience over the last 10 years is none the less true! There is a need to start looking at using technology from other disciplines as well as getting back to basics, remember the 3 stalwarts of security, Confidentially, Integrity and Availability!

We live in a world that is no longer IP centric and is now more and more about objects, resources, assets, applications, services and more. All of these things strung together create large datasets that the poor human brain cannot comprehend. When’s the last time you were asked to hunt through huge log files for tiny piece of information? It’s like hunting for a needle in a haystack and virtually (no pun intended!) impossible…

So what’s the answer? Well that may come from the past as well as our future, as well as using concepts from other disciplines and visualization techniques. Just then we then may be able to make sense of these large data sets and start to make more meaningful decisions about control and monitoring, and looking with real intelligence about what’s going on within and around our virtual and cloud computing environments. Stay tuned for part two….

• Support for vSphere5
• Distributed Switch Support for Network Maps
• New Polices for vCenter and ESXi5

To get started and audit your infrastructure in as little as 15 minutes, download a trial copy today by registering at www.vminformer.com

All your eggs in one basket, privileged user access, no segregation of duties, little or no monitoring and no preventive controls

The rest of the story can be found here…

Sydney –18 May 2011- Wie VMinformer – Innovationsträger in den Bereichen Compliance, Sicherheit und Auditing für virtuelle Umgebungen – heute ankündigte, hat das Unternehmen bei den Secure Computing (Australia) Awards den Innovationspreis gewonnen.

Bekannt gegeben wurde dies diese Woche während der alljährlichen AusCERT Konferenz an der Gold Coast. Dieser Preis honoriert einen Anbieter, bei dem ein bestimmtes Projekt, eine Einzelperson oder ein Team die herkömmliche Arbeitsweise im Bereich IT Sicherheit grundlegend verändert hat.

“Die Ausbreitung der Virtualisierung in einem Unternehmen bringt erhebliche Einsparungen, ist aber oft auch mit Risiken verbunden. In dem Bemühen um größtmögliche Effizienz werden traditionelle Sicherheitspraktiken oft übersehen. Bei der Absicherung dieser virtualisierten Instanzen und der Einhaltung von Richtlinien in Organisationen erwies sich VMInformer als besonders innovativ. Die Preisrichter waren besonders erfreut, diesen Award an ein australisches Unternehmen vergeben zu können, das erste, das seit Beginn dieser Preisvergabe vor drei Jahren in einer der Kategorien gewinnen konnte. “Die Jury gratuliert VMinfomer und freut sich darauf, dass das Unternehmen nächstes Jahr an den SC Magazine Awards teilnehmen wird,” sagte Nate Cochrane, Chefredakteur des SC Magazine (Australien).

Der Preis wurde von einer Gruppe von Experten vergeben, die sich aus IT Security-Beratern, Direktoren und Chief Technology Officers zusammensetzte. Diese Juroren wurde vom Redaktionsteam des SC Magazins auf Grund ihres umfassenden Wissens und ihrer Erfahrungen in der IT Sicherheitsbranche ausgewählt. Sie umfassten: Nigel Phair, Security Consultant und Autor; Drazen Drazic, Managing Director, Securus Global; Jason Edelstein, Chief Technology Officer, Sense of Security; Rick Harvey, Chief Technology Officer, Lockbox; Ajoy Ghosh, Chief Information Security Officer, Logica; Phil Kernick, Director, Information Security and Technology; Ben Robson, Director of Operations, IPSec Pty Ltd; Keith Price, National Director, Australian Information Security Association; Nick Ellsmore, Stratsec; James Turner, Advisor, IBRS; Alastair MacGibbon, bis vor kurzem Head of Trust, Safety and Customer Support bei eBay Asia Pacific; Joel Hatton, Senior Computer Security Analyst, AusCERT und Nate Cochrane, Chefredakteur des SC Magazines.

John Reeman, Unternehmensgründer und Chief Technology Officer von VMinformer, gab hierzu folgenden Kommentar ab: „Es ist uns eine große Ehre, den Innovation Award entgegen zu nehmen. Dies bestärkt uns in unserer Überzeugung, dass Sicherheit heute ein entscheidender Bestandteil der IT-Virtualisierungsstrategie jedes Unternehmens ist. Es freut uns besonders, dass unsere Technologie als Sicherheitslösung für virtualisierte Umgebungen anerkannt wurde, die von traditionellen Sicherheitslösungen einfach nicht so effektiv gehandhabt werden können. Wir freuen uns darauf, unsere Vorstellungen im Laufe des kommenden Jahres in ganz Australien bekannt zu machen“.


Als wichtigstes Auszeichnungsprogramm der Branche erkennen die SC Awards seit drei Jahren die entscheidenden Anbieter und herausragende Produkte an. Sie zeichnen die Einzelpersonen, Firmen und Produkte aus, die zur Bekämpfung der zahllosen Sicherheitsbedrohungen beitragen, mit denen sich die Geschäftswelt heute täglich auseinandersetzen muss. Dabei geht es nicht nur um die heutigen Herausforderungen in punkto Sicherheit, sondern auch um die von morgen. Schließlich ist Virtualisierung die IT-Plattform von morgen.

Nominierungen für die SC Awards werden von einer Gruppe von führenden Sicherheitsexperten aus großen, mittleren und kleinen Unternehmen aus allen wichtigen Branchen vorgeschlagen. Die Mitglieder dieser Gruppe repräsentieren die Leserschaft des SC Magazines.

Weitere Informationen zu den Virtualisierungs-Sicherheitslösungen von VMinformer finden Sie hier: www.vminformer.com.au


VMinformer


VMinfomer gehört zu den Pionieren in den Bereichen Compliance, Sicherheit und Auditing für virtuelle Umgebungen. Das Unternehmen wurde 2009 gegründet und will Organisationen ein Verständnis dessen vermitteln, wie wichtig Sicherheit als Teil ihrer Virtualisierungsstrategie ist. VMinformer bietet sowohl Services als auch Lösungen und ermöglicht Unternehmen so einen Überblick über sowie die Kontrolle ihrer virtuellen Welt.

VMinformer hat seinen Unternehmenssitz in Sydney, Australien, und ist darüber hinaus mit einer Niederlassung in Großbritannien und Vertriebsansprechpartnern in Europa, Japan und Nordamerika vertreten. VMinformer vertreibt seine Produkte über Partner mit Erfahrungen in den Bereichen Virtualisierung oder IT Siche

As well as showing demonstrations of out latest offerings for every attendee that visits us we will be donating towards the American Society of Clinical Oncology Conquer Cancer Foundation.

For more information visit our vmworld webpage.

So hope to see some of you soon!

Les consultants de VMinformer ont consacré les 5 dernières années à faire des recherches et à mener des audits de virtualisation. Dans 100 % des cas, les organisations ont échoué à nos audits parce que les commandes de sécurité de base ont été ignorées. A maintes et maintes reprises, les défaillances dues à une mauvaise configuration résultaient des performances et des comportements humains.

Bien sûr, la défaillance d’un système suite à l’inadvertance humaine n’a rien de nouveau, alors pourquoi devrions-nous nous inquiéter cette fois-ci? Il y a plusieurs facteurs en jeu. Tout d’abord, la plupart des gens ont tendance à trop attendre de la protection des éléments individuels de leur infrastructure informatique virtuelle contre les logiciels malveillants et des pare-feu, ce qui indique un manque de compréhension, ou un certain degré d’ignorance au niveau des recommandations de sécurité de leur constructeur de virtualisation.

Les meilleurs pare-feu, AV, IDS (sans toutefois manquer de respect à ces vendeurs, dont les produits font un travail important) ne fournissent que peu de protection à l’infrastructure virtuelle et en nuage.

Par ailleurs, les systèmes ne sont pas patchés et les mises à jour de sécurité (qui existent en grands nombres et qui sont communiquées avec diligence par les fabricants de virtualisation) sont ignorées. Est-ce que parce que les administrateurs de la virtualisation sont trop occupés? Peut-être n’ont-ils pas de visibilité sur l’ensemble de leur informatique virtuelle ou peut-être n’ont-ils pas une expertise suffisamment détaillée des nombreuses disciplines informatiques qu’ils contrôlent désormais (réseau, stockage, sécurité). Il s’agit généralement d’un mélange de tous ces facteurs. Si vous êtes responsable d’une plate-forme de virtualisation, c’est vraiment le moment de prendre du recul et d’analyser les risques.

Quelle est la conséquence d’une perte de notre infrastructure informatique virtuelle, ou au sein de cette dernière, et quelle en est la vraisemblance?

Malheureusement, il y a d’autres facteurs en jeu.

• Où est la répartition des tâches dans votre environnement informatique virtuel?
• Qui est responsable du quoi, du où, du quand et du comment?
• Qui surveille le tout?
• De quel audit ou assurance êtes-vous conscient?

Il vous suffit de regarder ce qui s’est passé sur les marchés financiers avec leur confiance excessive, leur auto-réglementation et leur écroulement total pour réaliser que votre équipe d’administration de systèmes, avec son emploi du temps surchargé, n’a aucune chance.

Cette plate-forme est bien trop importante pour tomber en panne….

Mais elle tombera toutefois en panne si ces facteurs ne sont pas pris en compte. Cette fois, la panne pourrait avoir une envergure jamais vue jusqu’à présent en matière d’informatique commerciale. Vous pouvez envisager non seulement la gêne occasionnée par la perte de quelques systèmes mais aussi la perte de l’intégralité d’une infrastructure informatique. Pourquoi et comment ceci se passerait-il? La raison habituelle: les humains qui ignorent les avertissements et tout simplement le fait de ne pas prendre de mesures préventives.

Le déploiement de SQL Slammer, en 2003, est un exemple classique. Ce ver a affecté 75 000 systèmes en 10 minutes. Comment cela a-t-il pu se passer? Microsoft avait lancé un patch 6 mois auparavant. Un patch qui a été ignoré pratiquement universellement!

VMware, Citrix et Microsoft fournissent tous des patches et font des recommandations sur le paramétrage et la configuration mais est-ce que les gens en tiennent compte? En général, non. Pire encore, les gens supposent que la configuration qu’ils ont déployée lors du développement, trois ans auparavant, convient toujours à la production ou au même usage en zone démilitarisée d’aujourd’hui! Bien sûr, les raisons habituelles sont données : les gens n’ont pas le temps de faire de recherches ou ils ont peur qu’en apportant un changement ils risquent d’interrompre le processus commercial critique.

Le comportement humain, qu’il s’agisse d’une inadvertance, d’ignorance, de laissez-faire ou d’un manque de visibilité ou de responsabilité, sera la cause fondamentale de la défaillance du système de sécurité de la virtualisation et des infrastructures d’informatique en nuage. Les organisations qui décident d’être complaisantes et d’ignorer les avertissements joueront un rôle dans la panne de système la plus catastrophique jamais vue.

Nous ne savons pas comment elle se produira ou quelle sera son envergure, mais les signes sont clairs…. Elle est inévitable.