L’isolation parfaite entre les machines virtuelles et l’hyperviseur est une composante essentielle de la sécurité des environnements virtualisés. Mais avec la nouvelle version de Canvas, son outil de tests d’intrusion, l’éditeur Immunity offre pourtant aujourd’hui un module d’attaque automatisé (Cloudburst) destiné à briser l’isolation d’une machine virtuelle invitée afin d’exécuter du code sur un système hôte VMWare.

La nouveauté, ici, est l’automatisation, et non la vulnérabilité : Cloudburst exploite en effet une vulnérabilité connue et corrigée par VMware depuis le 10 avril dernier. Cette annonce exhume en définitive une (relativement) vieille faille dont plus grand monde ne parlait.

Mais cela ne veut pas dire qu’elle soit anodine pour autant. Car jusqu’à présent, l’attaque la plus connue contre l’isolation des machines virtuelles VMWare reposait sur une configuration particulière (la présence de répertoires partagés entre les machines invitées et l’hôte). La faille exploitée par Cloudburst, en revanche, est basée sur une corruption de la mémoire et fonctionnera sur une installation par défaut, non patchée bien entendu. Les versions 6.5.1 et précédentes sont concernées.

Pour ne pas s’exposer à une telle exploitation, il suffit bien entendu d’avoir corrigé à temps ses hôtes VMware. Mais les délais de mise en oeuvre de correctifs étant ceux qu’ils sont, il est probable que bon nombre d’installations ne soient pas encore corrigées. C’est d’ailleurs là dessus que repose toute l’attention médiatique donnée à Cloudburst.

Le risque est toutefois limité pour les machines qui n’hébergent que des services internes à l’entreprise. Il est en revanche plus élevé dans le cadre du cloud computing (d’ou le nom imagé de cet exploit), car il permettrait potentiellement à n’importe quel client ayant loué une instance en mode Platform as a Service (PaaS) de prendre le contrôle de l’hôte et des machines qu’il héberge par ailleurs.