kvmCTF: 250.000 $ Kopfgeld von Google für KVM-Zero-Day-Schwachstellen
Im Oktober 2023 kündigte Google den Start von kvmCTF an, einem neuen Programm zur Auslobung von Belohnungen für Schwachstellen (VRP), das die Sicherheit des Hypervisors Kernel-based Virtual Machine (KVM) verbessern soll. Dieses innovative Programm bietet Belohnungen von bis zu 250.000 US-Dollar für vollständige VM-Escape-Exploits und ist ein wichtiger Schritt zur Stärkung von Umgebungen mit virtuellen Maschinen (VM) gegen Zero-Day-Schwachstellen.
Das kvmCTF-Programm
Als aktiver und wichtiger Mitwirkender an KVM hat Google kvmCTF als gemeinschaftliche Plattform entwickelt, um Schwachstellen zu identifizieren und zu beheben. Diese Initiative zielt darauf ab, die Sicherheit des KVM-Hypervisors zu erhöhen, der für die Stabilität und Sicherheit verschiedener Systeme unerlässlich ist.
Ähnlich wie das kernelCTF-Programm von Google, das auf Schwachstellen im Linux-Kernel abzielt, konzentriert sich kvmCTF auf VM-reachable Bugs im KVM-Hypervisor. Das Hauptziel ist die Durchführung erfolgreicher Gast-zu-Host-Angriffe, die speziell auf Zero-Day-Schwachstellen abzielen.
Belohnungsstufen
Dieses Programm bietet erhebliche Belohnungen für die Entdeckung und Ausnutzung von Sicherheitslücken. Die Struktur der Belohnung ist wie folgt:
- Vollständige VM-Flucht: 250.000 $
- Beliebiges Schreiben in den Speicher: $100.000
- Beliebiger Speicherplatz: $50.000
- Relativer Speicherbedarf: 50.000 $
- Dienstverweigerung: $20.000
- Relativer Speicherstand: 10.000 $
Programm-Mechanik
Sicherheitsforschern, die sich für dieses Programm anmelden, wird eine kontrollierte Laborumgebung zur Verfügung gestellt, in der sie Exploits zur Erfassung von Kennzeichnungen verwenden können. Im Gegensatz zu anderen VRPs konzentriert sich kvmCTF ausschließlich auf Zero-Day-Schwachstellen und schließt Exploits aus, die auf bekannte Schwachstellen abzielen.
Die kvmCTF-Infrastruktur wird in der Bare Metal Solution (BMS)-Umgebung von Google gehostet, was die Verpflichtung des Programms zu hohen Sicherheitsstandards unterstreicht. Die Teilnehmer können Zeitfenster für den Zugriff auf die Gast-VM reservieren und Gast-zu-Host-Angriffe versuchen. Der Schweregrad des Angriffs bestimmt die Höhe der Belohnung auf der Grundlage der festgelegten Belohnungsstufen.
Um eine verantwortungsvolle Veröffentlichung zu gewährleisten, erhält Google Details über entdeckte Zero-Day-Schwachstellen erst, nachdem Upstream-Patches veröffentlicht wurden. Dieser Ansatz stellt sicher, dass die Informationen gleichzeitig mit der Open-Source-Gemeinschaft geteilt werden, was eine gemeinschaftliche Anstrengung zur Verbesserung der Sicherheit von KVM fördert.
Schlussfolgerung
Um teilzunehmen, müssen die Forscher die kvmCTF-Regeln lesen, die detaillierte Anweisungen zur Reservierung von Zeitfenstern, zur Verbindung mit der Gast-VM, zum Erhalt von Flags, zur Zuordnung verschiedener KASAN-Verletzungen (Kernel Address SANitizer) zu Belohnungsstufen und zur Meldung von Schwachstellen enthalten. Dieser umfassende Leitfaden hilft den Teilnehmern, sich im Prozess zurechtzufinden und effektiv zum Programm beizutragen.
Diese Initiative stellt einen bedeutenden Fortschritt in den laufenden Bemühungen zur Sicherung von Umgebungen mit virtuellen Maschinen dar. Durch Anreize für die Entdeckung von Zero-Day-Schwachstellen und die Förderung der Zusammenarbeit mit der Sicherheitsgemeinschaft soll die Robustheit des KVM-Hypervisors verbessert werden. Mit dem Fortschreiten des Programms wird erwartet, dass es eine entscheidende Rolle bei der Sicherung der Infrastruktur spielt, die einer Vielzahl von Verbraucher- und Unternehmensanwendungen zugrunde liegt.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.