VENOM e Consequências Nefastas
Este novo bug de segurança afeta a maioria das plataformas de virtualização que são usadas hoje em dia e isso tem um impacto grande nos serviços que sustentam a Internet. O seu nome vem do acrônimo "Virtualized Environment Neglected Operations Manipulation". Portanto, um cibercriminoso pode explorar a VENOM, com o objetivo de escapar de um ambiente virtualizado e executar um código malicioso em outro. Além disso, algumas informações importantes foram prestadas em relação ao comportamento e capacidades de "VENOM", pois esta praga realmente é muito grave e seus efeitos são nefastos sim. Ressaltando que a virtualização e as máquinas virtuais desempenham um papel cada vez mais crítico e importante na Internet moderna; as máquinas virtuais permitem o cloud-computing (processamento e armazenamento massivo de dados em servidores que alojam informação do usuário), uma tecnologia muito importante para provedores de serviço e do qual dependem grandes empresas como é o caso da Amazon. Desta maneira, um cibercriminoso poderia comprar espaço de um provedor de servidor de nuvem, sair por completo do ambiente virtual que ele pagou, e se mover em qualquer outra máquina virtual operando sob o mesmo host. Em face dos perigos que a nova praga oferece, não há nada que nós, os usuários, possamos fazer para nos proteger, senão esperar que o os serviços de nuvem e outros provedores de virtualização corrijam o problema o mais rápido possível. Apesar do cenário ameaçador, há uma boa notícia: os fornecedores mais afetados já lançaram uma solução para o problema e um novo conceito de prova ilustrou que o VENOM é realmente mais difícil de explorar do que os especialistas pensavam inicialmente.
Vulnerabilidade VENOM e Desenvolvimento de Patches para Correções
De acordo com os pesquisadores da Crowdstrike, a vulnerabilidade de buffer não selecionado (CVE-2015-3456) ocorre no código do controlador de disquete virtual do QEMU. Sendo assim, um ataque bem-sucedido no buffer overflow explorando essa vulnerabilidade em questão, poderia permitir que um cybercriminoso executasse seu código no contexto de segurança do hypervisor, escapando do sistema operacional guest para obter o controle de todo o host. Pelo fato do QEMU ser um pacote de código aberto, torna-se praticamente impossível saber exatamente, quais os produtos e serviços que foram afetados pela falha. Entretanto, a Crowdstrike indicou que ele afeta o Xen, KVM e o cliente nativo QEMU. Há nesse contexto a afirmação de que nem os produtos de virtualização da VMware, nem da Microsoft são vulneráveis aos ataques de VENOM. A Amazon também afirmou que sua plataforma AWS não foi afetada. Importante destacar também que QEMU e XEN já têm patches disponíveis. E provavelmente, outros fornecedores já devem ter desenvolvido patches.
Riscos Oferecidos por VENOM
Em meio às atividades desencadeadas por essa ameaça, um determinado atacante pode comprometer todas as instâncias no host. A partir do momento que um host estiver comprometido, ele também poderia ser usado para realizar ataques de movimento lateral contra o próprio ambiente, colocando outros hosts e instâncias virtuais em risco. Portanto, para realizar esta ação, um cybercriminoso precisaria ter uma máquina virtual no host vulnerável e ter a capacidade de carregar e executar um código de sua escolha no referido host. Além do mais, o atacante também precisaria possuir privilégios de administrador no sistema operacional guest. A partir daí, o cybercriminoso poderia assumir o controle do host e potencialmente se aproveitar da sua condição de comprometimento, para desencadear outros ataques na rede. VENOM é muito parecido com as demais vulnerabilidades de código aberto, como é o caso das falhas já bastante conhecidas Heartbleed e Shellshock. Por conta disso, vem a necessidade de montar um plano de contingência para que o problema seja sanado.
Saiba Mais:
[1] ZDnet http://www.zdnet.com/article/venom-s...s-datacenters/
[2] Blog Trend Micro http://blog.trendmicro.com.br/entend.../#.VWyy-c9Viko