[bglug] VM escaping - XEN

Alessandro Tanasi alessandro@lonerunners.net
Ven 23 Gen 2015 22:31:47 CET 

> On 23 Jan 2015, at 21:54, Michele Mazzotta <michele@reveng.it> wrote:
> 
> Ciao Alessandro,
> 
> grazie per aver risposto. Mi interessa da un punto di vista di pentest anche se non sono un pentester e la struttura l’ho messa appositamente in piedi per questo test. Sono riuscito a fare privilege escalation usando la vulnerabilità di SYSRET (CVE-2012-0217) su FreeBSD 9.0 in HVM ma essendo l’obiettivo “escaping” e non avendo trovato ancora il modo (ammesso esista) di avere FreeBSD PV, sto cercando di replicare con Linux come domU di Xenserver. Inutile dire che non ci sono ancora riuscito, ho ottenuto soltanto un DoS dell’hypervisor, che comunque non rientra nel target.
> 
> So che ci sono stati numerosi aggiornamenti, ci sarebbe da preoccuparsi del contrario ;) ma ho installato diverse versioni di XENserver e altre Linux con XEN, all’uopo. Se hai esperienza in merito sarei felicissimo di offrirti una birra e parlarne a quattrocchi, onde evitare di finire [OT] su questa lista.
> 
> Grazie e buona serata,


Uhm non capisco, quindi non ti serve per “lavoro” ma per, diciamo, didattica? Il che vuol dire che hai libera scelta sul target da usare.

Usare la vulnerabilia` di sysret e` corretto, visto che e` il buco più grosso che e` stato documentato insieme al problema DMA, che pero` e` più` vecchio, mi sembra del 2008/2009. Tieni conto che eventuali comportamenti anomali, come il dos, possono esser dovuti a circostanze a contorno (configurazioni, misure di hardening implicite nell’os, etc) che ti rendono le cose più difficoltose.

Ti lascio un link interessante, anche se immagino tu lo abbia gia` usato come riferimento: http://www.vupen.com/blog/20120904.Advanced_Exploitation_of_Xen_Sysret_VM_Escape_CVE-2012-0217.php

Tieni conto che di solito, il breakout avviene per mis-configurazioni di servizi dell'host, virtual networking ecc, invece che per pura vulnerabilità dell’hypervisor. Di solito chi richiede un breakout test del genere e` abbastanza “sensibile” per cui non troverai un hypervisor vecchio di anni ;)

Ciao,
Alessandro Tanasi (@jekil)

Maggiori informazioni sulla lista bglug