La mia macchina host è completamente isolata da una macchina virtuale infetta da virus?

52

Se sto eseguendo una macchina virtuale Windows 7 su un host Windows 7 utilizzando VMWare o VirtualBox (o qualsiasi altra cosa) e la macchina virtuale è completamente sovraccarica di virus e altri software dannosi, dovrei preoccuparmi della mia macchina host?

Se ho un programma antivirus sul computer host, rileverà qualche problema?

windows  security  virtual-machine  anti-virus  virus 
Diogo
fonte

Risposte:

57

Ciò che finora è mancato ad ogni risposta è che ci sono più vettori di attacco oltre alle connessioni di rete e alla condivisione di file, ma con tutte le altre parti di una macchina virtuale, specialmente per quanto riguarda la virtualizzazione dell'hardware. Di seguito è riportato un buon esempio (rif. 2) in cui un SO guest può uscire dal contenitore VMware utilizzando la porta COM virtuale emulata.

Un altro vettore di attacco, comunemente incluso e talvolta abilitato per impostazione predefinita, su quasi tutti i processori moderni, è la virtualizzazione x86 . Sebbene si possa sostenere che avere la rete abilitata su una macchina virtuale sia il rischio maggiore per la sicurezza (e in effetti, è un rischio che deve essere considerato), questo impedisce solo ai virus di essere trasmessi come sono trasmessi su ogni altro computer - su una rete. Questo è il motivo per cui vengono utilizzati i software antivirus e firewall. Detto ciò...

Ci sono stati focolai di virus che possono effettivamente "esplodere" di macchine virtuali, che è stata documentata in passato (vedere i riferimenti 1 e 2 di seguito per dettagli / esempi). Mentre una soluzione discutibile è quella di disabilitare la virtualizzazione x86 (e ottenere il successo delle prestazioni eseguendo la macchina virtuale), qualsiasi software antivirus (decente) moderno dovrebbe essere in grado di proteggerti da questi virus in tempi limitati. Anche DEPfornirà protezione in una certa misura, ma niente di più di quando il virus verrebbe eseguito sul tuo attuale sistema operativo (e non in una macchina virtuale). Ancora una volta, notando i riferimenti seguenti, ci sono molti altri modi in cui il malware può uscire da una macchina virtuale oltre agli adattatori di rete o alla virtualizzazione / traduzione delle istruzioni (ad es. Porte COM virtuali o altri driver hardware emulati).

Ancora più recentemente è stata aggiunta la virtualizzazione MMU I / O alla maggior parte dei nuovi processori, che consente DMA . Uno scienziato informatico non vede il rischio di consentire a una macchina virtuale con accesso diretto alla memoria e all'hardware un virus, oltre a poter eseguire il codice direttamente sulla CPU.

Presento questa risposta semplicemente perché tutti gli altri ti alludono a credere che devi solo proteggerti dai file , ma consentire l'esecuzione del codice del virus direttamente sul tuo processore è un rischio molto più grande secondo me. Alcune schede madri disabilitano queste funzionalità per impostazione predefinita, ma altre no. Il modo migliore per mitigare questi rischi è disabilitare la virtualizzazione a meno che non sia effettivamente necessaria. Se non sei sicuro di averne bisogno o meno, disabilitalo .

Mentre è vero che alcuni virus possono colpire le vulnerabilità nel software della macchina virtuale, la gravità di queste minacce aumenta drasticamente quando si prende in considerazione la virtualizzazione del processore o dell'hardware, in particolare quelli che richiedono un'emulazione aggiuntiva sul lato host.

  1. Come recuperare le istruzioni x86 virtualizzate di Themida (Zhenxiang Jim Wang, Microsoft)

  2. Escaping VMware Workstation tramite COM1 (Kostya Kortchinsky, Google Security Team)

cp2141
fonte
2
Grazie, hai ottenuto la risposta migliore e più completa fino ad ora (che include riferimenti e alcune basi teoriche sull'argomento). Grazie.
Diogo,
4
L'articolo collegato dal testo "è stato documentato in passato" non ha nulla a che fare con lo scoppio di una macchina virtuale . (riguarda la virtualizzazione x86 per l'offuscamento del malware e il reverse engineering di tale)
Hugh Allen
@HughAllen ha appena letto l'articolo e stava per commentare la stessa identica cosa. Non infonde esattamente la sicurezza che il rispondente sappia di cosa sta parlando, vero?
Developerbmw
@HughAllen Ho aggiunto un nuovo esempio per dimostrare che questi problemi sono davvero reali. In questo caso l'exploit si occupa specificamente di VMWare, ma è possibile trovare facilmente altre informazioni su vari siti Web di sicurezza.
Breakthrough
@Brett Penso che l'OP abbia menzionato l'articolo di visualizzazione per mostrare che l'interprete / traduttore stesso può essere abusato per manipolare quali istruzioni vengono eseguite dal lato host. Si noti inoltre che è solo un riassunto / riassunto dell'articolo stesso e non l'intero articolo. Non riesco a trovare una versione completa, ma pubblicherò qui se riesco a trovarne una copia.
Breakthrough
17

Se stai usando cartelle condivise o hai qualche tipo di interazione di rete tra la VM e l'host, allora hai qualcosa di cui preoccuparti. Con potenzialmente, intendo dire che dipende da cosa fa effettivamente il codice dannoso.

Se non usi cartelle condivise e non hai nessun tipo di rete abilitata, dovresti andare bene.

L'antivirus sul tuo computer host non eseguirà alcun tipo di scansione all'interno della tua VM a meno che tu non abbia cose condivise.

squillman
fonte
1
Penso che l'OP chiedesse se l'anti-virus avrebbe rilevato qualcosa che fosse riuscito a infettare l'host, nel qual caso dovrebbe (se è qualcosa che l'AV può rilevare). Per quanto riguarda la sicurezza se isolata, esiste sicuramente un software in grado di rilevare l'essere all'interno di una VM (gli strumenti della VM per uno, ma anche cercare "redpill vm"), e c'è del lavoro (e forse del malware attuale ormai) che può saltare da una macchina virtuale (cercare "bluepill vm").
Synetech,
7
Anche se questo è vero, hai dimenticato cosa succede quando hai abilitato la virtualizzazione x86. Esistono virus che possono uscire dalla tua macchina virtuale in questo modo, indipendentemente dal fatto che tu abbia o meno un controller di rete installato sulla VM.
cp2141,
Va inoltre notato che le macchine virtuali eseguono molto più emulazione / virtualizzazione rispetto alle sole connessioni di rete (ad es. Rottura di una macchina virtuale attraverso la porta COM virtuale emulata ), fornendo molti più vettori per tentare di controllare il sistema host.
Breakthrough
7

Se la VM è infettata da un virus che ha come obiettivo lo sfruttamento del software VM come VMWare Tools, potrebbe uscirne, ma al momento non credo che ci sia nulla in circolazione. Potrebbe anche sfruttare l'host sulla rete se l'host è vulnerabile.

L'antivirus sul sistema host non dovrebbe vedere i virus nella VM a meno che non si trovino in una cartella condivisa.

Riguez
fonte
4
Ci sono una manciata di exploit che fluttuano intorno a questo. Si possono scavare da soli attraverso i Security Advisories di VMware e trovarne alcuni: vmware.com/security/advisories Anche altri fornitori hanno problemi.
Brad,
@ Brad, il paesaggio è troppo piccolo. Naturalmente ci sarebbero virus specifici di VMware, che lo stanno chiedendo prendendo per sé l'intera torta.
Pacerier,
1

Dovrebbe andare bene, basta disattivare l'accesso alla condivisione di file e uccidere il nic all'interno della VM dopo il periodo di infezione iniziale.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.