Im Bereich der IT-Sicherheit gibt es immer wieder neue Tricks und Taktiken, mit denen Angreifer versuchen, Malware zu verbreiten, um unerwünschten Zugang zu Systemen zu erhalten. Kürzlich wurde eine Malwarekampagne entdeckt, bei der Angreifer gefälschte Profile von IT-Sicherheitsforschern erstellten und Malware als Proof-of-Concept-Exploits tarnten. Diese Malware wurde in Github-Repositories platziert und als Zero-Day-Exploits angepriesen.
Solche Vorfälle machen deutlich, dass IT-Experten Vorkehrungen zum Schutz ihrer Systeme treffen müssen. Eine gängige Methode, die von Pentestern, aber auch von anderen IT-Fachleuten verwendet wird, ist der Einsatz von virtuellen Maschinen (VMs). Diese isolieren ihre Testumgebungen vom Hauptsystem und dienen als Schutzschild gegen potenziell bösartigen Code.
Die gemeinsame Nutzung der Zwischenablage durch die virtuelle Maschine und das Hostsystem stellt jedoch ein erhebliches Sicherheitsrisiko dar. Die Zwischenablage ermöglicht den Austausch von Text- und Dateiinhalten (copy&paste) zwischen den beiden Systemen und erleichtert das Kopieren und Einfügen von Informationen. Diese Funktionalität kann jedoch von Angreifern ausgenutzt werden, um unbemerkt Information vom Hostsystem auszulesen.
Um das Ausmaß dieses Risikos besser zu verstehen und einschätzen zu können, haben wir einen Zwischenablage-Sniffer entwickelt und auf verschiedenen Virtualisierungsplattformen getestet. Dabei haben wir uns folgendes Szenario vorgestellt:
Dieses Szenario ist natürlich nicht auf Sicherheitsforscher beschränkt, sondern nur ein mögliches Szenario. Die Gefahr der gemeinsamen Zwischenablage betrifft jeden VM-Nutzer. Im Folgenden werden die Ergebnisse der Untersuchung von den Virtualisierungsplattformen Hyper-V, VirtualBox und VMWare vorgestellt.
Bei Hyper-V gibt es zwei Betriebsmodi, die verwendet werden können. Es gibt den Standard Modus und es gibt einen sogenannten erweiterten Modus (Enhanced Session Mode), der erweiterte Funktionen für die Interaktion zwischen dem Hostsystem und der virtuellen Maschine (Gast) bietet. Da der erweiterte Modus eine verbesserte Benutzererfahrung und erhöhte Interaktionsmöglichkeiten zwischen Host und Gast ermöglicht, wird dieser in der Regel verwendet.
Im Standard Modus, ist der Zugriff auf die Zwischenablage nur vom Host zum Gast möglich und nur, wenn der Benutzer aktiv auf Zwischenablage einfügen in der Hyper-V-Taskleiste klickt. Aus der VM selbst, gibt es keine Zugriffsoptionen auf die Zwischenablage.
Im erweiterten Modus hat die VM die volle Kontrolle über die Zwischenablage, sowohl lesend als auch schreibend, selbst wenn die VM minimiert ist.
Der Standard Modus ist sicher gestaltet, da hier der Benutzer sich aktiv entscheiden muss, die Zwischenablage von Host zu Gast zu übertragen. Der erweiterte Modus hingegen ist in dieser Hinsicht extrem unsicher, da die VM volle Kontrolle über die Zwischenablage des Hosts hat, auch wenn die VM nur minimiert im Hintergrund läuft. Die Zwischenablage kann jedoch auch im erweiterten Modus deaktiviert werden. Dazu gibt es direkt beim Verbinden mit dem erweiterten Modus unter den erweiterten Optionen die Möglichkeit, die geteilte Zwischenablage zu deaktivieren.
Bei VirtualBox, kann man auch zwischen zwei grundsätzlichen Betriebsmodi unterschieden. Ein Betriebsmodus ist, wenn die sogenannten „virtualbox-guest-utils“ installiert sind. Die guest-utils, ermöglichen genau wie der erweitere Modus bei Hyper-V eine verbesserte Benutzererfahrung und erhöhte Interaktionsmöglichkeiten zwischen Host und Gast. Dazu gehört auch, dass das Teilen der Zwischenablage ermöglicht wird. Die zweite Betriebsart kommt zum Tragen, wenn die guest-utils nicht installiert sind.
Ohne die Guest-Utils ist keine geteilte Zwischenablage möglich.
Sind die VirtualBox Guest-Utils installiert und in den Einstellungen die bidirektionale Zwischenablage aktiviert, dann hat der Gast volle Kontrolle über die Zwischenablage, sowohl lesend als auch schreibend, selbst wenn die VM minimiert ist. Der Anwender hat jedoch die Möglichkeit unter den entsprechenden Einstellungen der VM die Zwischenablage zu deaktivieren oder einzuschränken.
Ohne guest-utils ist keine gemeinsame Zwischenablage möglich, was es dementsprechend sicher macht. Mit installierten guest-utlis hingegen, hat die VM volle Kontrolle über die Zwischenablage des Hosts, selbst wenn die VM nur minimiert im Hintergrund läuft.
Ãhnlich wie bei VirtualBox kann bei VMWare unterschieden werden, ob die VMWare-Tools installiert sind oder nicht. Die VMWare-Tools ermöglichen ebenfalls eine verbesserte Benutzererfahrung und eine bessere Interaktion zwischen Host und Gast, einschließlich der gemeinsamen Nutzung der Zwischenablage.
Ohne die VMWare-Tools ist keine geteilte Zwischenablage möglich.
Wenn die VMware-Tools installiert sind, hat die VM nur volle Kontrolleü ber die Zwischenablage, wenn sie fokussiert ist. Also, wenn mit dem Mauszeiger über die VM gefahren wird oder sie aktiv angeklickt wird. Solange die VM minimiert im Hintergrund läuft oder nicht aktiv ausgewählt ist, hat sie keinen Zugriff auf die gemeinsame Zwischenablage.
Wenn die VMWare-Tools nicht installiert sind, ist keine gemeinsame Zwischenablage möglich, was es entsprechend sicher macht. Bei installierten VMWare-Tools hat die VM die volle Kontrolle über die Zwischenablage des Hosts, aber nur, wenn sie im Fokus ist. Das macht den Prozess etwas sicherer als z.B. bei Hyper-V oder VirtualBox.
Die Ergebnisse zeigen, dass in den meisten der normalerweise verwendeten Betriebsfälle das eingangs beschriebene Szenario möglich ist. In zwei Fällen, Hyper-V und VirtualBox könnten nach dem Start der VM Informationen des Hosts, wie z.B. Passwörter in der Zwischenablage, ausgelesen und automatisch unbemerkt an den Angreifer gesendet werden. Bei VMWare ist dies nur eingeschränkt möglich, nämlich dann, wenn die VM fokussiert ist, erst dann wird die Zwischenablage vom Host mit dem Gast geteilt. Wenn die entsprechenden Tools nicht installiert sind oder die Zwischenablage in den Einstellungen deaktiviert ist, ist der Angriff nicht möglich. Die folgende Tabelle fasst die Ergebnisse der Untersuchung übersichtlich zusammen:
| Virtualisierungs-plattform | Modus | Angriff erfolgreich |
| Hyper-V | Standard Modus | Nein, die VM hat keinen Zugriff auf die Zwischenablage des Hosts. Es kann jedoch vom Host zum Guest kopiert werden, wenn diese Aktion aktiv vom Benutzer ausgelöst wird. |
| Erweiterter Modus (Enhanced Session Mode) | Ja, der Angriff ist erfolgreich, auch wenn die VM minimiert im Hintergrund läuft. | |
| VirtualBox | Guest-Utils sind nicht installiert. | Nein, die VM hat keinen Zugriff auf die Zwischenablage des Hosts. |
| Guest-Utils sind installiert und geteilte Zwischenablage in den Einstellungen aktiviert. | Ja, der Angriff ist erfolgreich, auch wenn die VM minimiert im Hintergrund läuft. | |
| VMWare | VMWare-Tools sind nicht installiert. | Nein, die VM hat keinen Zugriff auf die Zwischenablage des Hosts. |
| VMWare-Tools sind installiert und geteilte Zwischenablage in den Einstellungen aktiviert. | Teilweise, es können nur Informationen aus der Zwischenablage des Hosts ausgelesen werden, wenn die VM fokussiert ist. |
In diesem Blogeintrag wurde nur die gemeinsame Nutzung der Zwischenablage behandelt, die zwischen dem Hostsystem und der virtuellen Maschine geteilt wird. Ebenso wurde nur ein Szenario über den Lesezugriff behandelt, aber auch Szenarien mit Schreibzugriffen sind denkbar.
Andere Ressourcen, die zwischen dem Hostsystem und der virtuellen Maschine gemeinsam genutzt werden können, sind beispielsweise der Drucker oder die Webcam. Dies eröffnet zusätzliche Möglichkeiten für potenzielle Angriffe. Die Ergebnisse der Untersuchung machen deutlich, dass eine virtuelle Maschine möglicherweise nicht so isoliert und abgeschottet läuft, wie man zunächst annehmen könnte.
VMs erhöhen zwar das Sicherheitsniveau, aber wie dieser Artikel gezeigt hat, gibt es immer noch Risiken, die adressiert werden sollten. Im Folgenden sind drei Maßnahmen aufgelistet, die ergriffen werden können, um das Risiko zu minimieren:
Die Umsetzung der oben genannten Maßnahmen kann helfen, das Risiko einer Kompromittierung zu verringern. Zu guter Letzt ist es jedoch am wichtigsten, sich der Sicherheitsrisiken bewusst zu sein.
Im Bereich der IT-Sicherheit gibt es immer wieder neue Tricks und Taktiken, mit denen Angreifer versuchen, Malware zu verbreiten, um unerwünschten Zugang zu Systemen zu erhalten. Kürzlich wurde eine Malwarekampagne entdeckt, bei der Angreifer gefälschte Profile von IT-Sicherheitsforschern erstellten und Malware als Proof-of-Concept-Exploits tarnten. Diese Malware wurde in Github-Repositories platziert und als Zero-Day-Exploits angepriesen.
Solche Vorfälle machen deutlich, dass IT-Experten Vorkehrungen zum Schutz ihrer Systeme treffen müssen. Eine gängige Methode, die von Pentestern, aber auch von anderen IT-Fachleuten verwendet wird, ist der Einsatz von virtuellen Maschinen (VMs). Diese isolieren ihre Testumgebungen vom Hauptsystem und dienen als Schutzschild gegen potenziell bösartigen Code.
Die gemeinsame Nutzung der Zwischenablage durch die virtuelle Maschine und das Hostsystem stellt jedoch ein erhebliches Sicherheitsrisiko dar. Die Zwischenablage ermöglicht den Austausch von Text- und Dateiinhalten (copy&paste) zwischen den beiden Systemen und erleichtert das Kopieren und Einfügen von Informationen. Diese Funktionalität kann jedoch von Angreifern ausgenutzt werden, um unbemerkt Information vom Hostsystem auszulesen.
Um das Ausmaß dieses Risikos besser zu verstehen und einschätzen zu können, haben wir einen Zwischenablage-Sniffer entwickelt und auf verschiedenen Virtualisierungsplattformen getestet. Dabei haben wir uns folgendes Szenario vorgestellt:
Dieses Szenario ist natürlich nicht auf Sicherheitsforscher beschränkt, sondern nur ein mögliches Szenario. Die Gefahr der gemeinsamen Zwischenablage betrifft jeden VM-Nutzer. Im Folgenden werden die Ergebnisse der Untersuchung von den Virtualisierungsplattformen Hyper-V, VirtualBox und VMWare vorgestellt.
Bei Hyper-V gibt es zwei Betriebsmodi, die verwendet werden können. Es gibt den Standard Modus und es gibt einen sogenannten erweiterten Modus (Enhanced Session Mode), der erweiterte Funktionen für die Interaktion zwischen dem Hostsystem und der virtuellen Maschine (Gast) bietet. Da der erweiterte Modus eine verbesserte Benutzererfahrung und erhöhte Interaktionsmöglichkeiten zwischen Host und Gast ermöglicht, wird dieser in der Regel verwendet.
Im Standard Modus, ist der Zugriff auf die Zwischenablage nur vom Host zum Gast möglich und nur, wenn der Benutzer aktiv auf Zwischenablage einfügen in der Hyper-V-Taskleiste klickt. Aus der VM selbst, gibt es keine Zugriffsoptionen auf die Zwischenablage.
Im erweiterten Modus hat die VM die volle Kontrolle über die Zwischenablage, sowohl lesend als auch schreibend, selbst wenn die VM minimiert ist.
Der Standard Modus ist sicher gestaltet, da hier der Benutzer sich aktiv entscheiden muss, die Zwischenablage von Host zu Gast zu übertragen. Der erweiterte Modus hingegen ist in dieser Hinsicht extrem unsicher, da die VM volle Kontrolle über die Zwischenablage des Hosts hat, auch wenn die VM nur minimiert im Hintergrund läuft. Die Zwischenablage kann jedoch auch im erweiterten Modus deaktiviert werden. Dazu gibt es direkt beim Verbinden mit dem erweiterten Modus unter den erweiterten Optionen die Möglichkeit, die geteilte Zwischenablage zu deaktivieren.
Bei VirtualBox, kann man auch zwischen zwei grundsätzlichen Betriebsmodi unterschieden. Ein Betriebsmodus ist, wenn die sogenannten „virtualbox-guest-utils“ installiert sind. Die guest-utils, ermöglichen genau wie der erweitere Modus bei Hyper-V eine verbesserte Benutzererfahrung und erhöhte Interaktionsmöglichkeiten zwischen Host und Gast. Dazu gehört auch, dass das Teilen der Zwischenablage ermöglicht wird. Die zweite Betriebsart kommt zum Tragen, wenn die guest-utils nicht installiert sind.
Ohne die Guest-Utils ist keine geteilte Zwischenablage möglich.
Sind die VirtualBox Guest-Utils installiert und in den Einstellungen die bidirektionale Zwischenablage aktiviert, dann hat der Gast volle Kontrolle über die Zwischenablage, sowohl lesend als auch schreibend, selbst wenn die VM minimiert ist. Der Anwender hat jedoch die Möglichkeit unter den entsprechenden Einstellungen der VM die Zwischenablage zu deaktivieren oder einzuschränken.
Ohne guest-utils ist keine gemeinsame Zwischenablage möglich, was es dementsprechend sicher macht. Mit installierten guest-utlis hingegen, hat die VM volle Kontrolle über die Zwischenablage des Hosts, selbst wenn die VM nur minimiert im Hintergrund läuft.
Ãhnlich wie bei VirtualBox kann bei VMWare unterschieden werden, ob die VMWare-Tools installiert sind oder nicht. Die VMWare-Tools ermöglichen ebenfalls eine verbesserte Benutzererfahrung und eine bessere Interaktion zwischen Host und Gast, einschließlich der gemeinsamen Nutzung der Zwischenablage.
Ohne die VMWare-Tools ist keine geteilte Zwischenablage möglich.
Wenn die VMware-Tools installiert sind, hat die VM nur volle Kontrolleü ber die Zwischenablage, wenn sie fokussiert ist. Also, wenn mit dem Mauszeiger über die VM gefahren wird oder sie aktiv angeklickt wird. Solange die VM minimiert im Hintergrund läuft oder nicht aktiv ausgewählt ist, hat sie keinen Zugriff auf die gemeinsame Zwischenablage.
Wenn die VMWare-Tools nicht installiert sind, ist keine gemeinsame Zwischenablage möglich, was es entsprechend sicher macht. Bei installierten VMWare-Tools hat die VM die volle Kontrolle über die Zwischenablage des Hosts, aber nur, wenn sie im Fokus ist. Das macht den Prozess etwas sicherer als z.B. bei Hyper-V oder VirtualBox.
Die Ergebnisse zeigen, dass in den meisten der normalerweise verwendeten Betriebsfälle das eingangs beschriebene Szenario möglich ist. In zwei Fällen, Hyper-V und VirtualBox könnten nach dem Start der VM Informationen des Hosts, wie z.B. Passwörter in der Zwischenablage, ausgelesen und automatisch unbemerkt an den Angreifer gesendet werden. Bei VMWare ist dies nur eingeschränkt möglich, nämlich dann, wenn die VM fokussiert ist, erst dann wird die Zwischenablage vom Host mit dem Gast geteilt. Wenn die entsprechenden Tools nicht installiert sind oder die Zwischenablage in den Einstellungen deaktiviert ist, ist der Angriff nicht möglich. Die folgende Tabelle fasst die Ergebnisse der Untersuchung übersichtlich zusammen:
| Virtualisierungs-plattform | Modus | Angriff erfolgreich |
| Hyper-V | Standard Modus | Nein, die VM hat keinen Zugriff auf die Zwischenablage des Hosts. Es kann jedoch vom Host zum Guest kopiert werden, wenn diese Aktion aktiv vom Benutzer ausgelöst wird. |
| Erweiterter Modus (Enhanced Session Mode) | Ja, der Angriff ist erfolgreich, auch wenn die VM minimiert im Hintergrund läuft. | |
| VirtualBox | Guest-Utils sind nicht installiert. | Nein, die VM hat keinen Zugriff auf die Zwischenablage des Hosts. |
| Guest-Utils sind installiert und geteilte Zwischenablage in den Einstellungen aktiviert. | Ja, der Angriff ist erfolgreich, auch wenn die VM minimiert im Hintergrund läuft. | |
| VMWare | VMWare-Tools sind nicht installiert. | Nein, die VM hat keinen Zugriff auf die Zwischenablage des Hosts. |
| VMWare-Tools sind installiert und geteilte Zwischenablage in den Einstellungen aktiviert. | Teilweise, es können nur Informationen aus der Zwischenablage des Hosts ausgelesen werden, wenn die VM fokussiert ist. |
In diesem Blogeintrag wurde nur die gemeinsame Nutzung der Zwischenablage behandelt, die zwischen dem Hostsystem und der virtuellen Maschine geteilt wird. Ebenso wurde nur ein Szenario über den Lesezugriff behandelt, aber auch Szenarien mit Schreibzugriffen sind denkbar.
Andere Ressourcen, die zwischen dem Hostsystem und der virtuellen Maschine gemeinsam genutzt werden können, sind beispielsweise der Drucker oder die Webcam. Dies eröffnet zusätzliche Möglichkeiten für potenzielle Angriffe. Die Ergebnisse der Untersuchung machen deutlich, dass eine virtuelle Maschine möglicherweise nicht so isoliert und abgeschottet läuft, wie man zunächst annehmen könnte.
VMs erhöhen zwar das Sicherheitsniveau, aber wie dieser Artikel gezeigt hat, gibt es immer noch Risiken, die adressiert werden sollten. Im Folgenden sind drei Maßnahmen aufgelistet, die ergriffen werden können, um das Risiko zu minimieren:
Die Umsetzung der oben genannten Maßnahmen kann helfen, das Risiko einer Kompromittierung zu verringern. Zu guter Letzt ist es jedoch am wichtigsten, sich der Sicherheitsrisiken bewusst zu sein.
