grandeduc - Fotolia

F

Wie kann man virtuelle Maschinen vor dem Flip-Feng-Shui-Exploit schützen?

Flip Feng Shui ist eine zweistufige Attacke, mit der in Cloud-Umgebungen eingesetzte virtuelle Maschinen übernommen werden können.

Flip Feng Shui ist ein so genannter Bit-Flipping-Exploit, bei dem einzelne Bits durch eine Attacke geändert werden. Ein Angreifer kann den Exploit einsetzen, um eine virtuelle Maschine zu übernehmen.

Das Hijacking wird durch das Austauschen eines Bits in einer Verschlüsselungssoftware innerhalb der angegriffenen virtuellen Maschine durchgeführt. Dadurch kann der Hacker die Software schwächen und ausschalten.

Eine Attacke auf eine virtuelle Maschine mit Hilfe von Flip Feng Shui erfolgt nach Erkenntnissen von Forschern der Vrije Universiteit Amsterdam (PDF) in zwei Stufen. Im ersten Schritt wird die Speicher-Deduplizierung in einer von dem Angreifer kontrollierten virtuellen Linux-Maschine missbraucht, um damit die Kontrolle über eine zweite VM zu erhalten. Speicher-Deduplizierung ist eine Funktion des Betriebssystems, die in Cloud-Umgebungen genutzt wird, um physische Speicherseiten in virtuelle Speicherseiten zu verwandeln. Dadurch kann die angreifende virtuelle Maschine eine Zugriffsmöglichkeit auf die VM des Opfers erhalten.

Im zweiten Schritt einer Flip-Feng-Shui-Attacke wird der Rowhammer-Bug ausgenutzt, um ein Bit auf einer Speicherseite zu ändern, die Software der anvisierten VM enthält. Dabei kann es sich um öffentliche OpenSSH-Schlüssel, URLs zum Update von zum Beispiel Debian oder Ubuntu und als vertrauenswürdig eingestufte Public Keys handeln.

Nachdem diese geschwächt oder nutzlos gemacht wurden, ist die angegriffene virtuelle Maschine offen für den Angreifer.

Systeme gegen Attacken schützen

Um sich gegen die Flip-Feng-Shui-Attacke zu schützen, sollten Administratoren Speicher-Deduplizierung deaktivieren. Außerdem sollten sie intensive Rowhammer-Tests der dynamischen Speicher-Chips durchführen, um sicherzustellen, dass keine Bits geändert werden können.

Manche DDR4-Chips enthalten zudem Schutzmaßnahmen namens Directed Row Refresh. DDR4 ist die Abkürzung für Double Data Rate der vierten Generation. Diese Chips unterstützen höhere Geschwindigkeiten bei niedrigerem Stromverbrauch und geringeren Latenzen als ihre jeweiligen Vorgänger.

Sensible Informationen sollten darüber hinaus auf ihre Integrität geprüft werden, um sicherzustellen, dass in ihnen kein Bit geändert wurde.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie BGP-Hijacking erkannt und verhindert werden kann

Cross Site Scripting: Das sollten Unternehmen über die Schwachstellen wissen

Browsersicherheit: Angriff auf HTTPS per HEIST

System und Anwendungen gegen Attacken schützen

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close