Ein Sicherheitsforscher entdeckt eine kritische Lücke in Virtualisierungssoftware, die oft in Rechenzentren zum Einsatz kommt. Theoretisch ist es einem Angreifer möglich, über das Einfallstor auf die Daten aller Kunden zuzugreifen, die sich einen Server teilen.

Immer mehr Nutzer und vor allem Unternehmen vertrauen ihre Daten Rechenzentren an, um Speicherplatz zu sparen und Leistungen auszulagern. Dort steht nicht unbedingt für jeden Kunden ein eigener Computer, sondern auf den Servern sind sogenannte virtuelle Maschinen installiert, die Rechnersysteme simulieren. Das funktioniert auch im kleinen Maßstab auf dem Heim-PC, um ein zweites Betriebssystem zu installieren. Nutzer können so beispielsweise Windows XP online weiternutzen, ohne zu riskieren, dass ihre Hardware durch Schad-Software infiziert wird - virtuelle Systeme laufen normalerweise völlig isoliert.

Sicherheitsforscher Jason Geffner hat jetzt allerdings Erkenntnisse über eine Sicherheitslücke veröffentlicht, die es Angreifern erlaubt, aus einer virtuellen Maschine auszubrechen und Zugang zum System zu erlangen, auf dem die Software installiert ist. Sie könnten dann in alle anderen auf dem "Host" installierten virtuellen Maschinen eindringen und die Daten ihrer Nutzer stehlen. Die Schwachstelle wurde Venom (Virtualized Environment Neglected Operations Manipulation) getauft. Sie befindet sich im Controller für virtuelle Floppy-Laufwerke, also in Software die völlig überflüssig ist, da solche Disketten eigentlich schon seit Jahren in echten Computern nicht mehr zum Einsatz kommen.

Vergleich mit Heartbleed hinkt

"Millionen virtuelle Maschinen" nutzten Virtualisierungsplattformen, die durch Venom gefährdet seien, sagte Geffner der US-Webseite "ZDNet.com". Sie stufte die Schwachstelle daher als "gefährlicher als Heartbleed" ein, die OpenSSL-Sicherheitslücke, die im vergangenen Jahr Angst und Schrecken in der IT-Welt verbreitete. "Heartbleed lässt einen Bösewicht durch das Fenster eines Hauses schauen und die Informationen sammeln, die er sieht", so der Sicherheitsforscher. "Venom erlaubt es einer Person, nicht nur in ein Haus einzubrechen, sondern auch in jedes andere Haus in der Nachbarschaft."

Doch der Vergleich mit Heartbleed hinkt vermutlich. So weist Geffners Arbeitgeber "Crowdstrike" selbst darauf hin, dass Angreifer nur dann Venom für einen Ausbruch aus einer virtuellen Maschine nutzen können, wenn sie Administrator-Rechte oder Root-Zugriff haben. Einige große Virtualisierungsplattformen wie Microsofts Hyper-V oder VMware sind gegen Venom resistent und für betroffene Plattformen gibt es bereits Sicherheitspatches. Deren Administratoren sollten sie bereits installiert haben oder dies in Kürze tun, Crowdstrike informierte die Anbieter der betroffenen Hersteller bereits Ende April vor Veröffentlichung der Schwachstelle. Bisher ist auch noch kein Fall eines Venom-Angriffs bekannt.

Ein Mitarbeiter der auf Netzwerksicherheit spezialisierten Firma Tenable sagte laut "ZDNet.de", Venom habe zwar schon "einiges Getöse" verursacht, "allerdings liegen noch keine Belege dafür vor, dass die Auswirkungen tatsächlich so groß sind, wie der Hype vermuten lässt." Auch das Sicherheitsunternehmen Symantec hält das Ausmaß der Gefährdung durch Venom für deutlich geringer als bei Heartbleed. Betreiber anfälliger Systeme, auf denen Dienste mit vielen vertraulichen Daten ausgeführt würden, müssten allerdings schnell handeln. Denn in diesem Fall könnte ein Angriff "verheerend" sein.