Une faille critique dans le très populaire hyperviseur Xen permet à des attaquants de s’introduire dans un système d'exploitation invité tournant à l'intérieur d'une machine virtuelle et d'accéder à toute la mémoire du système hôte. Cette violation grave de la barrière de sécurité de l'hyperviseur expose les datacenters multi-locataires où les serveurs virtualisés des clients partagent le même hardware sous-jacent. L'hyperviseur open source Xen est utilisé par des fournisseurs de cloud et des hébergeurs de serveurs privés, mais aussi par des systèmes d'exploitation sécurisés comme Qubes OS. Cette dernière vulnérabilité affecte les versions 4.8.x, 4.7.x, 4.6.x, 4.5.x et 4.4.x de Xen. Elle serait présente dans le code de base de Xen depuis plus de quatre ans. Elle a été introduite involontairement en décembre 2012 en même temps qu’un correctif destiné à résoudre un autre problème.

Hier, le projet Xen a livré un correctif applicable manuellement aux déploiements vulnérables. La bonne nouvelle c’est que la vulnérabilité ne peut être exploitée que par des systèmes d'exploitation invités 64 bits paravirtualisés. Xen prend en charge deux types de machines virtuelles : les machines virtuelles matérielles ou Hardware Virtual Machines (HVM), dont la virtualisation est assistée par un hardware et les machines virtuelles para-virtualisées (PV) dont la virtualisation est basée sur un logiciel. Cependant, tous les utilisateurs de machines virtuelles PV exploitant Xen ne sont pas affectés. Par exemple, dans un communiqué, Amazon Web Services a indiqué que ses clients data et instances n'étaient pas affectés par la vulnérabilité et qu’ils n’avaient rien à faire pour se protéger. Dans le même temps, le fournisseur de serveurs privés virtuel Linode a du redémarrer certains de ses serveurs Xen pour appliquer le correctif.

La paravirtualisation plus supportée dans Qubes 4.0

Qubes OS, un système d'exploitation qui utilise Xen pour isoler les applications à l'intérieur de machines virtuelles, a également prévenu qu'un attaquant exploitant une autre vulnérabilité, dans un navigateur par exemple, pouvait exploiter la faille Xen pour compromettre l'ensemble du système Qubes. Les développeurs de Qubes ont livré un pack Xen corrigé pour les versions 3.1 et 3.2 de Qubes et ont redit qu’ils cesseraient d'utiliser la para-virtualisation dans les prochaines versions 4.0 de Qubes. Les vulnérabilités permettant de franchir la couche d'isolation des machines virtuelles peuvent être très utiles pour les attaquants. Le récent concours de piratage Pwn2Own a offert une récompense de 100 000 dollars aux développeurs qui parviendraient à exploiter des failles de machines virtuelles dans VMware Workstation ou Microsoft Hyper-V. Zerodium, une entreprise spécialisée dans le rachat d’exploits a offert jusqu'à 50 000 dollars pour ce type d’attaques.