Saturday, April 4, 2009

VMware Escape

http://lists.vmware.com/pipermail/security-announce/2009/000054.html

"a. Denial of service guest to host vulnerability in a virtual device

A vulnerability in a guest virtual device driver, could allow a guest operating system to crash the host and consequently any virtual machines on that host."

Edit: Suite a discussion avec VMware, il semblerait que le bug soumis par Andrew Honig soit bel et bien un DoS, dans un peripherique virtuel. Neanmoins la serie de bugs necessaire a l'execution de l'"escape" est corrigee (non creditee). Comprenez ce que vous voulez de cela. Ca commence a devenir complique ces conneries.

Et non, encore une fois, tout faux. Avec VMware 6.5.2 vient de mourir un des bugs Guest -> Host les plus fiables qui ait existe (a ma connaissance). Il s'agissait en fait de la combinaison de 3 a 4 bugs presents dans le code d'emulation d'un peripherique (execute sur l'hote):
  • un memory leak
  • un write relatif
  • un write absolu
  • et quelques goodies supplementaire pour desactiver DEP

L'avantage est qu'il est possible de rooter tout hote. Windows Vista SP1 avec son ASLR et DEP AlwaysOn, Ubuntu 8.04 LTS et son ... euh rien, ESX 4.0 (RC) et ses protections. Player, Workstation, tout.

Le code etait plus ou moins present depuis un long moment, et n'a ete active par defaut que dans la branche 6.5 de Workstation, et 4.0 de ESX.

J'attendais avec impatience la sortie de la finale de ESX 4.0, et le chaos que ca aurait engendre. Malheureusement la derniere version affectee aura ete le ESX 4.0 RC Hard Freeze.

Je me rejouis cependant de quelques details. Certaines organisations gouvernementales utilisent une solution fondee sur VMware pour le cloisenement du traitement des donnees secretes ou non. Fail. Je ne peux que sourire aussi en pensant a tous les honeypoteurs et autres analystes de malware qui font tourner des binaires dans leur VMware sans trop se soucier de quoi que ce soit.

Mais ne vous inquietez pas, personne n'a utilise un outil de la sorte dans le "wild". Ca se saurait, hein?

Sur ce, malgre un Samedi matin ensoleile, une semi gueule de bois, et une rage intense, je vais au taf pour faire une video Flash et mettre a jour CANVAS Early Updates avec une version de ce que j'avais prepare.

Edit: lien vers la video http://immunityinc.com/documentation/cloudburst-vista.html


2 comments:

newsoft said...

L'éthique a gagné sur le chaos, donc. C'est beau comme histoire :)

Kostya said...

Le Chaos n'a pas dit son dernier mot!