Une piste pour sécuriser les hyperviseurs

Si, pour certains, les hyperviseurs de type 1 - ou bare metal - sont par essence peu vulnérables, du fait d’une surface d’attaque limitée, cet avis n’est pas universellement partagé. Zhi Wang et Xuxian Jian, deux chercheurs de l’université de l’état de Caroline du Nord, aux Etats-Unis, se rangent dans le camp des sceptiques. Dans un rapport de recherche, ils développent leurs propositions pour améliorer la sécurité des hyperviseurs, regroupées sous un concept baptisé HyperSafe. Et, surtout, de présenter deux prototypes issus de leurs travaux : l’un basé sur BitVisor et, l’autre, sur Xen. A la clé, deux particularités : la protection de l’espace mémoire associé au code exécutable de l’hyperviseur et à ses données statiques, d’une part, et, de l’autre, une couche d’abstraction portant sur les pointeurs visant à interdire les appels en dehors des espaces mémoire autorisés - lesquels sont prédéterminés en temps réel. 

La première technique vise à interdire la corruption du code et des données statiques de l’hyperviseur en jouant sur les niveaux de privilège du processeur sur les pages mémoire virtuelles. La seconde consiste en un contrôle indirect de l’intégrité des flux et s’appuie sur un processus d’analyse dynamique du code exécuté pour l’établissement d’une table prédictive des adresses appelées possibles et, surtout, légitimes. Tout ce qui doit sortir de ce dernier domaine étant alors bloqué. 

Le bémol de la solution ? Elle entraîne une perte de performances globale de l’ordre de 5 %, principalement du fait des analyses temps réel nécessaires à la mise en oeuvre de la seconde technique. Mais peut-être n’est-ce qu’un modeste sacrifice ?

En complément :

- Les RSSI face au défi de la sécurisation des environnements virtuels