Depuis quelques années les solutions de virtualisation ont fait leur apparition et pour des raisons essentiellement économiques, la tendance à virtualiser les infrastructures informatiques va perdurer.Les avantages de la virtualisation d’une infrastructure sont nombreux, comme ceux évoqués lors de rencontre d’experts [1]. Moins sérieusement, un des partenaires de VmWare propose une application flash qui calcule les gains (réels ?) à virtualiser des serveurs [2].
D’un point de vue sécurité, il est avantageux de virtualiser les environnements obsolètes afin de limiter les impacts des crashs logiciels ou matériels. Beaucoup d’entreprises ont des logiciels “maisons” qui ne sont plus maintenus et qui ne tournent que sur des OS non maintenus. Le coût de la virtualisation est souvent moins élevé que le re-développement de ces applications. Les problèmes de sécurité ne sont pas résolus par la virtualisation mais il est possible de mieux contrôler l’environnement virtuel.La virtualisation peut être intéressante lorsqu’une application nécessite des privilèges (applications en générale mal développées) ou lorsque les actions des utilisateurs nécessitent des privilèges (typiquement un serveur de développement ou d’intégration). Une autre utilisation concerne les experts de sécurité pour faire des tests sur des logiciels dangereux (malware) ou pour l’hébergement de honeypots.
La vitualisation n’est cependant pas la solution à tous les problèmes de sécurité. Le serveur hôte du système de virtualisation doit être sécurisé et la solution de virtualisation correstement configurée; ce qui n’est pas simple du fait de la complexité de ces solutions.
“Virtualisation, as with any emerging technology, will be the target of new security threats” disait Neil MacDonald, lors du Symposium/ITxpo 2007 [3]. Ce sentiment est partagé selon les résultats d’un sondage [4] CIO.co.uk, même si la majorité des participants à ce sondage considère que la formation est une solution pour réduire les menaces (ce qui n’est pas faux, juste insuffisant).
Les experts McAfee [5] estiment que la virtualisation sera au coeur des préoccupations sécurité dans les prochaines années. Une des raisons évoquées est l’impression de sécurité générée par le cloisonnement inhérent à la virtualisation. Des experts plus indépendants ont étudié les mécanismes de sécurité implémentés dans les solutions de virtualisation et ils ont mis en évidence des problèmes [6].
Les erreurs de programmation peuvent être exploitables pour passer d’une machine virtuelle au système hôte. Ce sujet a fait l’objet d’une publication lors de la conférence CanSecWest 2007. L’auteur présente les résultats de tests d’efficacité de l’isolation mémoire indispensable à la sécurité de système de virtualisation sur des plateformes x86. Les tests combinent des analyses de code (pour les solutions opensources) et l’usage d’outils spécifiques. Les résultats montrent des problèmes sur quasiment tous les environnements testés (”No virtual machine tested was robust enough to withstand the testing procedure used, and multiple exploitable flaws were presented that could allow an attacker restricted to a virtualised environment to reliably escape onto the host system.”).
Plus récemment, la réalité des risques liés à la virtualisation a été démontrée lors de la conférence Black Hat DC en février [7]. La lecture de cette présentation montre que les développeurs travaillant sur les solutions de virtualisation n’ont pas pris au sérieux les problèmes de sécurité (ce qui est inquiétant). L’auteur fait le constat que le mécanisme de migration de machine virtuelle n’est pas sécurisé, qu’il est possible d’accéder via ce mécanisme à l’intégralité de la mémoire de la VM, sans avoir besoin de s’authentifier. Les hyperviseurs VMware et Xen seraient vulnérables à ce type d’attaque, à la condition d’avoir activé cette fonctionnalité. Pour finir, l’auteur présente XenExploit, un outil qui permet de mettre en pratique les attaques sur les applications clientes et sur le système hôte. Pour conclure, l’auteur appelle à la généralisation du chiffrement et de la signature, qui ne sont pas aujourd’hui implémentés dans les solution de virtualisation.
Quelques jours après, des vulnérabilités concernant les produits VMware (y compris sur les clients) ont été publiées par Core Security, reprises par le SANS [8] puis par d’autres médias [9] et [10].
D’une façon plus globale, un consultant de Siemens résume bien les enjeux sécurité de la virtualisation dans un article [11]. Il met l’accent sur le manque de retour d’expérience sur le déploiement de systèmes virtuels et la probabilité forte que des failles exploitables soient encore non découvertes. L’auteur prédit que le nombre de systèmes installés augmentant, les attaques de types buffer overflows, spywares, rootkits et chevaux de Troie vont se généraliser. Ces attaques pourront cibler l’hyperviseur lui-même, et dans ce cas, le concept Hyperjacking désigne la capacité d’un attaquant à prendre le contrôle de l’hyperviseur (à distance). Une nouvelle difficulté est également introduit par la faculté des serveurs virtuels à migrer, et donc à potentiellement changer de zone de confiance. L’autre danger est la capacité de mettre une VM hors ligne durant une période, et de la redémarrer plus tard, sans forcement être bien protégée contre les risques apparus durant son sommeil. La virtualisation d’un réseau rend difficile la capacité de filtrage ou de détection d’anomalies sans un outillage spécifique.
D’un autre coté, des experts continuent de travailler sur les moyens d’exploiter les failles et de développer des “preuves de concept” comme le projet “blue pill” [12].
Les recommandations qui sont faites pour sécuriser une machine virtuelle sont identiques à celles généralement effectuées par le monde réel (Réduire la surface d’attaque, appliquer les correctifs de sécurité,…), mais la plus importante est de considérer les machines virtuelles comme des machines réelles, et d’appliquer la même politique de sécurité. Dans le cas de réseaux virtuels, de nouvelles solutions sont proposées comme celle de Arumtec. En conclusion, les experts sécurité vont devoir accompagner le mouvement de virtualisation et prendre en compte les nouveaux enjeux sécurité liés aux serveurs virtuels, qui sont eux bien réels.
Bibliographie :
| 1 | Le Cercle de la Sécurité : Sécurité et virtualisation, amis … | Emmanuelle Lamandé, 02/2008 |
| 2 | Virtualization Calculator | Oriel |
| 3 | Virtualisation security risks being ignored | Ellen Messmer, 10/04/2007 |
| 4 | Virtualisation faces security challenges | Miya Knights, 29/06/2007 |
| 5 | Virtualisation a security threat? | Tom Espiner, 20/11/2007 |
| 6 | On virtualisation | Tavis Ormandy, 29/05/2007 |
| 7 | Exploiting live virtual machine migration | Jon Oberheide, 21/02/2008 |
| 8 | Critical VMware security alert for Windows-hosted VMware client versions |
SANS, 24/02/2008 |
| 9 | Most VMware users at risk from critical bug? | Peter Judge, 26/02/2008 |
| 10 | Vulnérabilités en série chez VMWare | Christophe Elise, le 25/02/2008 |
| 11 | Virtualisation: Why existing security measures are no longer enough | David Frith, 03/01/2008 |
| 12 | Blue Pill virtualisation rootkit freely available | Heise, 02/08/2007 |
(4 votes)
Loading ...
