Ist die geteilte Zwischenablage ein IT-Sicherheitsrisiko?

Von Mike Kittelberger | Jul. 03, 2023 | Blog

Mögliche IT-Sicherheitsrisiken

Im Bereich der IT-Sicherheit gibt es immer wieder neue Tricks und Taktiken, mit denen Angreifer versuchen, Malware zu verbreiten, um unerwünschten Zugang zu Systemen zu erhalten. Kürzlich wurde eine Malwarekampagne entdeckt, bei der Angreifer gefälschte Profile von IT-Sicherheitsforschern erstellten und Malware als Proof-of-Concept-Exploits tarnten. Diese Malware wurde in Github-Repositories platziert und als Zero-Day-Exploits angepriesen.

Solche Vorfälle machen deutlich, dass IT-Experten Vorkehrungen zum Schutz ihrer Systeme treffen müssen. Eine gängige Methode, die von Pentestern, aber auch von anderen IT-Fachleuten verwendet wird, ist der Einsatz von virtuellen Maschinen (VMs). Diese isolieren ihre Testumgebungen vom Hauptsystem und dienen als Schutzschild gegen potenziell bösartigen Code.

Die gemeinsame Nutzung der Zwischenablage durch die virtuelle Maschine und das Hostsystem stellt jedoch ein erhebliches Sicherheitsrisiko dar. Die Zwischenablage ermöglicht den Austausch von Text- und Dateiinhalten (copy&paste) zwischen den beiden Systemen und erleichtert das Kopieren und Einfügen von Informationen. Diese Funktionalität kann jedoch von Angreifern ausgenutzt werden, um unbemerkt Information vom Hostsystem auszulesen.

Um das Ausmaß dieses Risikos besser zu verstehen und einschätzen zu können, haben wir einen Zwischenablage-Sniffer entwickelt und auf verschiedenen Virtualisierungsplattformen getestet. Dabei haben wir uns folgendes Szenario vorgestellt:

Ein Sicherheitsforscher benutzt eine VM und möchte einen Exploit herunterladen und lädt dabei unwissentlich Malware herunter, die nach der Ausführung unbemerkt im Hintergrund der virtuellen Maschine (VM) aktiv ist. Die Malware ist ein Zwischenablage-Sniffer, der automatisch alles, was in die Zwischenablage kopiert wird, an den Angreifer sendet. In unserem Testfall haben wir untersucht, ob es für die Malware möglich ist, Passwörter aus der Zwischenablage des Hosts zu lesen. Dazu haben wir den Versuch durchgeführt, dass der Benutzer zum Hostsystem zurückkehrt und ein Passwort aus einem Passwortmanager in die Zwischenablage kopiert. Wenn die Malware dieses Passwort in der VM lesen kann, ist der Angriff erfolgreich.

Dieses Szenario ist natürlich nicht auf Sicherheitsforscher beschränkt, sondern nur ein mögliches Szenario. Die Gefahr der gemeinsamen Zwischenablage betrifft jeden VM-Nutzer. Im Folgenden werden die Ergebnisse der Untersuchung von den Virtualisierungsplattformen Hyper-V, VirtualBox und VMWare vorgestellt.

Hyper-V

Bei Hyper-V gibt es zwei Betriebsmodi, die verwendet werden können. Es gibt den Standard Modus und es gibt einen sogenannten erweiterten Modus (Enhanced Session Mode), der erweiterte Funktionen für die Interaktion zwischen dem Hostsystem und der virtuellen Maschine (Gast) bietet. Da der erweiterte Modus eine verbesserte Benutzererfahrung und erhöhte Interaktionsmöglichkeiten zwischen Host und Gast ermöglicht, wird dieser in der Regel verwendet.

Der Standard Modus

Im standard Modus, ist der Zugriff auf die Zwischenablage nur vom Host zum Gast möglich und nur, wenn der Benutzer aktiv auf Zwischenablage einfügen in der Hyper-V-Taskleiste klickt. Aus der VM selbst, gibt es keine Zugriffsoptionen auf die Zwischenablage.

Der Erweiterte Modus (Enhanced Session Mode)

Im erweiterten Modus hat die VM die volle Kontrolle über die Zwischenablage, sowohl lesend als auch schreibend, selbst wenn die VM minimiert ist.

Hyper-V Auswertung

Der Standard Modus ist sicher gestaltet, da hier der Benutzer sich aktiv entscheiden muss, die Zwischenablage von Host zu Gast zu übertragen. Der erweiterte Modus hingegen ist in dieser Hinsicht extrem unsicher, da die VM volle Kontrolle über die Zwischenablage des Hosts hat, auch wenn die VM nur minimiert im Hintergrund läuft. Die Zwischenablage kann jedoch auch im erweiterten Modus deaktiviert werden. Dazu gibt es direkt beim Verbinden mit dem erweiterten Modus unter den erweiterten Optionen die Möglichkeit, die geteilte Zwischenablage zu deaktivieren.

VirtualBox

Bei VirtualBox, kann man auch zwischen zwei grundsätzlichen Betriebsmodi unterschieden. Ein Betriebsmodus ist, wenn die sogenannten „virtualbox-guest-utils“ installiert sind. Die guest-utils, ermöglichen genau wie der erweitere Modus bei Hyper-V eine verbesserte Benutzererfahrung und erhöhte Interaktionsmöglichkeiten zwischen Host und Gast. Dazu gehört auch, dass das Teilen der Zwischenablage ermöglicht wird. Die zweite Betriebsart kommt zum Tragen, wenn die guest-utils nicht installiert sind.

Guest-Utils sind nicht installiert

Ohne die Guest-Utils ist keine geteilte Zwischenablage möglich.

Guest-Utils sind installiert

Sind die VirtualBox Guest-Utils installiert und in den Einstellungen die bidirektionale Zwischenablage aktiviert, dann hat der Gast volle Kontrolle über die Zwischenablage, sowohl lesend als auch schreibend, selbst wenn die VM minimiert ist. Der Anwender hat jedoch die Möglichkeit unter den entsprechenden Einstellungen der VM die Zwischenablage zu deaktivieren oder einzuschränken.

VirtualBox Auswertung

Ohne guest-utils ist keine gemeinsame Zwischenablage möglich, was es dementsprechend sicher macht. Mit installierten guest-utlis hingegen, hat die VM volle Kontrolle über die Zwischenablage des Hosts, selbst wenn die VM nur minimiert im Hintergrund läuft.

VMWare

Ãhnlich wie bei VirtualBox kann bei VMWare unterschieden werden, ob die VMWare-Tools installiert sind oder nicht. Die VMWare-Tools ermöglichen ebenfalls eine verbesserte Benutzererfahrung und eine bessere Interaktion zwischen Host und Gast, einschließlich der gemeinsamen Nutzung der Zwischenablage.

VMWare-Tools sind nicht installiert

Ohne die VMWare-Tools ist keine geteilte Zwischenablage möglich.

VMWare-Tools sind installiert

Wenn die VMware-Tools installiert sind, hat die VM nur volle Kontrolleü ber die Zwischenablage, wenn sie fokussiert ist. Also, wenn mit dem Mauszeiger über die VM gefahren wird oder sie aktiv angeklickt wird. Solange die VM minimiert im Hintergrund läuft oder nicht aktiv ausgewählt ist, hat sie keinen Zugriff auf die gemeinsame Zwischenablage.

VMWare Auswertung

Wenn die VMWare-Tools nicht installiert sind, ist keine gemeinsame Zwischenablage möglich, was es entsprechend sicher macht. Bei installierten VMWare-Tools hat die VM die volle Kontrolle über die Zwischenablage des Hosts, aber nur, wenn sie im Fokus ist. Das macht den Prozess etwas sicherer als z.B. bei Hyper-V oder VirtualBox.

Auswertung der Untersuchungen

Die Ergebnisse zeigen, dass in den meisten der normalerweise verwendeten Betriebsfälle das eingangs beschriebene Szenario möglich ist. In zwei Fällen, Hyper-V und VirtualBox könnten nach dem Start der VM Informationen des Hosts, wie z.B. Passwörter in der Zwischenablage, ausgelesen und automatisch unbemerkt an den Angreifer gesendet werden. Bei VMWare ist dies nur eingeschränkt möglich, nämlich dann, wenn die VM fokussiert ist, erst dann wird die Zwischenablage vom Host mit dem Gast geteilt. Wenn die entsprechenden Tools nicht installiert sind oder die Zwischenablage in den Einstellungen deaktiviert ist, ist der Angriff nicht möglich. Die folgende Tabelle fasst die Ergebnisse der Untersuchung übersichtlich zusammen:

In diesem Blogeintrag wurde nur die gemeinsame Nutzung der Zwischenablage behandelt, die zwischen dem Hostsystem und der virtuellen Maschine geteilt wird. Ebenso wurde nur ein Szenario über den Lesezugriff behandelt, aber auch Szenarien mit Schreibzugriffen sind denkbar.

Andere Ressourcen, die zwischen dem Hostsystem und der virtuellen Maschine gemeinsam genutzt werden können, sind beispielsweise der Drucker oder die Webcam. Dies eröffnet zusätzliche Möglichkeiten für potenzielle Angriffe. Die Ergebnisse der Untersuchung machen deutlich, dass eine virtuelle Maschine möglicherweise nicht so isoliert und abgeschottet läuft, wie man zunächst annehmen könnte.

Empfehlungen

VMs erhöhen zwar das Sicherheitsniveau, aber wie dieser Artikel gezeigt hat, gibt es immer noch Risiken, die adressiert werden sollten. Im Folgenden sind drei Maßnahmen aufgelistet, die ergriffen werden können, um das Risiko zu minimieren:

1. Es sollte niemals Code aus einer nicht vertrauenswürdigen Quelle heruntergeladen und einfach ausgeführt werden. Der Code sollte immer zumindest überflogen werden, um zu prüfen, dass er keine Anzeichen von Malware oder bösartigem Verhalten aufweist. Bei großen Programmen ist dies jedoch oft zeitaufwändig und nicht unbedingt effizient.
2. Eine weitere Maßnahme zur Risikominimierung besteht darin, nur die Ressourcen freizugeben, die wirklich notwendig sind. Welche Ressourcen notwendig sind, hängt vom jeweiligen Anwendungsfall ab. Oftmals ist die gemeinsame Nutzung der Webcam oder des Druckers jedoch nicht notwendig. Im Falle der Zwischenablage kann die gemeinsame Nutzung eingeschränkt werden und beispielsweise je nach Bedarf der bidirektionale Austausch deaktiviert werden. Die Deaktivierung der gemeinsamen Zwischenablage bietet das höchste Maß an Sicherheit, ist aber auch mit Einschränkungen für den Benutzer verbunden.
3. Das Verwenden von VMware setzt voraus, dass die VM fokussiert sein muss, um auf geteilte Ressourcen zugreifen zu können. Dadurch kann die VM nicht im Hintergrund minimiert auf gemeinsam genutzte Ressourcen zugreifen, was das Sicherheitsniveau erhöht.

Die Umsetzung der oben genannten Maßnahmen kann helfen, das Risiko einer Kompromittierung zu verringern. Zu guter Letzt ist es jedoch am wichtigsten, sich der Sicherheitsrisiken bewusst zu sein.