Google hat kvmCTF ins Leben gerufen, ein neues Schwachstellen-Belohnungsprogramm (VRP), das erstmals im Oktober 2023 angekündigt wurde, um die Sicherheit des Kernel-based Virtual Machine (KVM)-Hypervisors zu verbessern, und das mit $250.000 Belohnungen für vollständige VM-Escape-Exploits ausgestattet ist.
KVM, ein Open-Source-Hypervisor, der seit über 17 Jahren entwickelt wird, ist eine wichtige Komponente in Privat- und Unternehmensumgebungen, die Android- und Google Cloud-Plattformen unterstützt.
Als aktiver und wichtiger KVM-Mitarbeiter hat Google kvmCTF als gemeinschaftliche Plattform entwickelt, um Schwachstellen zu identifizieren und zu beheben und diese wichtige Sicherheitsschicht zu stärken.
Wie das kernelCTF-Programm von Google, das auf Sicherheitslücken im Linux-Kernel abzielt, konzentriert sich kvmCTF auf VM-erreichbare Fehler im Kernel-based Virtual Machine (KVM) Hypervisor.
Das Ziel ist es, erfolgreiche Gast-zu-Host-Angriffe durchzuführen, und QEMU- oder Host-zu-KVM-Schwachstellen werden nicht ausgezeichnet.
Sicherheitsforschern, die sich für das Programm anmelden, wird eine kontrollierte Laborumgebung zur Verfügung gestellt, in der sie Schwachstellen ausnutzen können, um Flaggen zu erfassen. Im Gegensatz zu anderen Programmen zur Belohnung von Sicherheitslücken konzentriert sich kvmCTF jedoch auf Zero-Day-Schwachstellen und belohnt keine Exploits, die auf bekannte Schwachstellen abzielen.
Die Prämienstufen für kvmCTF sind wie folgt:
- Vollständige VM-Flucht: $250.000
- Beliebiges Schreiben in den Speicher: $100.000
- Beliebiger Speicherplatz: $50.000
- Relativer Schreibspeicher: $50.000
- Dienstverweigerung: $20.000
- Relativer Speicherstand: $10.000
Die kvmCTF-Infrastruktur wird auf der Bare Metal Solution (BMS)-Umgebung von Google gehostet, was das Engagement des Programms für hohe Sicherheitsstandards unterstreicht.
"Die Teilnehmer können Zeitfenster für den Zugriff auf die Gast-VM reservieren und versuchen, einen Gast-zu-Host-Angriff durchzuführen. Das Ziel des Angriffs muss es sein, eine Zero-Day-Schwachstelle im KVM-Subsystem des Host-Kernels auszunutzen", so Google-Software-Ingenieur Marios Pomonis.
"Bei Erfolg erhält der Angreifer eine Flagge, die seine Leistung bei der Ausnutzung der Schwachstelle bestätigt. Der Schweregrad des Angriffs bestimmt die Höhe der Belohnung, die sich nach dem unten erläuterten Belohnungssystem richtet. Alle Meldungen werden von Fall zu Fall gründlich geprüft."
Google erhält Details zu entdeckten Zero-Day-Schwachstellen erst nach der Veröffentlichung von Upstream-Patches, um sicherzustellen, dass die Informationen gleichzeitig an die Open-Source-Community weitergegeben werden.
Zu Beginn müssen die Teilnehmer die kvmCTF-Regeln durchlesen, die Informationen über die Reservierung von Zeitfenstern, die Verbindung mit der Gast-VM, den Erhalt von Flags, die Zuordnung verschiedener KASAN-Verstöße zu Belohnungsstufen sowie detaillierte Anweisungen zum Melden von Schwachstellen enthalten.
