Ist mein Host-Computer vollständig von einem mit Viren infizierten virtuellen Computer isoliert?

52

Wenn ich eine virtuelle Windows 7-Maschine mit VMWare oder VirtualBox (oder etwas anderem) auf einem Windows 7-Host ausführe und die virtuelle Maschine vollständig mit Viren und anderer schädlicher Software überlastet ist, muss ich mir dann Sorgen um meine Hostmaschine machen?

Wenn ich ein Antivirenprogramm auf dem Hostcomputer habe, werden dann Probleme erkannt?

windows  security  virtual-machine  anti-virus  virus 
Diogo
quelle

Antworten:

57

Bisher hat jede Antwort versäumt, dass es mehr Angriffsmethoden gibt als nur Netzwerkverbindungen und Dateifreigabe, sondern alle anderen Teile einer virtuellen Maschine - insbesondere im Hinblick auf die Virtualisierung von Hardware. Ein gutes Beispiel dafür ist unten gezeigt (Ref. 2), wo ein Gastbetriebssystem mithilfe des emulierten virtuellen COM-Anschlusses aus dem VMware-Container ausbrechen kann.

Ein weiterer Angriffsvektor, der auf fast allen modernen Prozessoren häufig enthalten und manchmal standardmäßig aktiviert ist, ist die x86-Virtualisierung . Während Sie argumentieren können, dass die Aktivierung des Netzwerks auf einer VM das größte Sicherheitsrisiko darstellt (und tatsächlich ein Risiko, das berücksichtigt werden muss), verhindert dies nur, dass Viren so übertragen werden, wie sie auf jedem anderen Computer übertragen werden - über ein Netzwerk. Hierfür wird Ihre Antiviren- und Firewall-Software verwendet. Davon abgesehen ...

Es wurden Ausbrüche von Viren gewesen , die tatsächlich können von virtuellen Maschinen „ausbrechen“, das hat sich in der Vergangenheit dokumentiert (siehe Referenzen 1 und 2 unten für Details / Beispiele). Während eine vertretbare Lösung zu deaktivieren x86 - Virtualisierung (und nehmen Sie die Leistungseinbußen laufen die virtuelle Maschine) ist, jede moderne (anständig) Antiviren-Software sollte in der Lage Sie von diesen Viren innerhalb der begrenzten Grund zu schützen. Sogar DEPbietet bis zu einem gewissen Grad Schutz, aber nichts weiter, als wenn der Virus auf Ihrem tatsächlichen Betriebssystem (und nicht auf einer VM) ausgeführt würde. Unter Hinweis auf die folgenden Verweise gibt es neben Netzwerkadaptern oder der Virtualisierung / Übersetzung von Anweisungen (z. B. virtuelle COM-Ports oder andere emulierte Hardwaretreiber) noch viele andere Möglichkeiten, wie Malware aus einer virtuellen Maschine ausbrechen kann.

In jüngerer Zeit wurde den meisten neuen Prozessoren die I / O-MMU-Virtualisierung hinzugefügt, die DMA ermöglicht . Ein Informatiker muss nicht wissen, wie riskant es ist, einer virtuellen Maschine einen direkten Speicher- und Hardwarezugriff auf Viren zu ermöglichen. Außerdem muss er in der Lage sein, Code direkt auf der CPU auszuführen.

Ich präsentiere diese Antwort nur, weil alle anderen Sie darauf hinweisen, dass Sie sich nur vor Dateien schützen müssen , aber das direkte Ausführen von Virencode auf Ihrem Prozessor ist meiner Meinung nach ein viel größeres Risiko. Einige Motherboards deaktivieren diese Funktionen standardmäßig, andere nicht. Der beste Weg, um diese Risiken zu minimieren, besteht darin, die Virtualisierung zu deaktivieren, es sei denn, Sie benötigen sie tatsächlich. Wenn Sie nicht sicher sind, ob Sie es brauchen oder nicht, deaktivieren Sie es .

Zwar können einige Viren auf Sicherheitslücken in der Software Ihrer virtuellen Maschine abzielen, doch der Schweregrad dieser Bedrohungen erhöht sich drastisch, wenn Sie die Prozessor- oder Hardwarevirtualisierung berücksichtigen, insbesondere diejenigen, die eine zusätzliche host-seitige Emulation erfordern.

  1. So stellen Sie virtualisierte x86-Anweisungen von Themida wieder her (Zhenxiang Jim Wang, Microsoft)

  2. Escaping von VMware Workstation über COM1 (Kostya Kortchinsky, Google-Sicherheitsteam)

cp2141
quelle
2
Vielen Dank, Sie haben bis jetzt die beste und vollständigste Antwort erhalten (die Referenzen und einige theoretische Grundlagen zum Thema enthält). Danke.
Diogo
4
Der Artikel, der aus dem Text "Wurde in der Vergangenheit dokumentiert" verlinkt wurde, hat nichts mit dem Ausbruch einer VM zu tun . (es geht um x86-Virtualisierung für Malware-Verschleierung und das Reverse-Engineering von solchen)
Hugh Allen
@HughAllen hat gerade den Artikel gelesen und wollte genau das Gleiche kommentieren. Verleiht nicht gerade Vertrauen, dass der Antwortende weiß, wovon er / sie spricht, oder?
Developerbmw
@HughAllen Ich habe ein neues Beispiel hinzugefügt, um zu zeigen, dass diese Probleme in der Tat real sind. In diesem Fall befasst sich der Exploit speziell mit VMWare. Auf verschiedenen Sicherheitswebsites können Sie jedoch leicht andere Offenlegungen finden.
Durchbruch
@Brett Ich denke, das OP erwähnte den Visualisierungsartikel, um zu zeigen, dass der Dolmetscher / Übersetzer selbst missbraucht werden kann, um zu manipulieren, welche Anweisungen host-seitig ausgeführt werden. Beachten Sie auch, dass dies nur eine Zusammenfassung des Artikels selbst ist und nicht der vollständige Artikel. Ich kann anscheinend keine Vollversion finden, werde aber hier posten, wenn ich eine Kopie finde.
Durchbruch
17

Wenn Sie freigegebene Ordner verwenden oder über eine Netzwerkinteraktion zwischen der VM und dem Host verfügen, besteht möglicherweise ein Grund zur Sorge. Mit potenziell meine ich, dass es davon abhängt, was der Schadcode tatsächlich tut.

Wenn Sie keine freigegebenen Ordner verwenden und kein Netzwerk aktiviert haben, sollten Sie in Ordnung sein.

Anti-Virus auf Ihrem Host-Computer scannt nicht innerhalb Ihrer VM, es sei denn, Sie haben Dinge freigegeben.

Squillman
quelle
1
Ich denke, das OP hat gefragt, ob das Antivirus-Programm irgendetwas erkennen würde, das den Host infiziert. In diesem Fall sollte es dies tun (wenn es sich um etwas handelt, das das AV-Programm erkennen kann). Aus Sicherheitsgründen gibt es auf jeden Fall Software, die erkennt, dass sie sich in einer VM befindet (die Tools der VM, aber auch "redpill vm"), und es gibt Arbeit (und möglicherweise aktuelle Malware), die springen kann aus einer VM (siehe "bluepill vm").
Synetech
7
Obwohl dies zutrifft, haben Sie vergessen, was passiert, wenn die x86-Virtualisierung aktiviert ist. Es gibt Viren, die auf diese Weise aus Ihrer virtuellen Maschine ausbrechen können, unabhängig davon, ob auf der VM ein Netzwerkcontroller installiert ist oder nicht.
cp2141
Es sollte auch beachtet werden, dass virtuelle Maschinen viel mehr Emulationen / Virtualisierungen durchführen als nur Netzwerkverbindungen (z. B. Trennen einer VM über den emulierten virtuellen COM-Port ), wodurch viel mehr Vektoren bereitgestellt werden, um zu versuchen, das Hostsystem zu steuern.
Durchbruch
7

Wenn die VM mit einem Virus infiziert ist, der auf die Ausnutzung der VM-Software wie VMWare Tools abzielt, könnte dies möglicherweise rauskommen, aber ich denke, dass derzeit nichts in der Lage ist, dies zu tun. Es könnte auch den Host über das Netzwerk ausnutzen, wenn der Host anfällig ist.

Das Antivirenprogramm auf dem Hostsystem sollte keine Viren in der VM sehen, es sei denn, diese befinden sich in einem freigegebenen Ordner.

Riguez
quelle
4
Es gibt eine Handvoll Exploits, die dies tun. Man könnte allein in den VMware Security Advisories stöbern und einige finden: vmware.com/security/advisories Andere Anbieter haben ebenfalls Probleme.
Brad
@ Brad, Die Landschaft ist viel zu klein. Natürlich würde es VMware-spezifische Viren geben, sie fragen danach, indem sie den ganzen Kuchen für sich behalten.
Pacerier
1

Sollte in Ordnung sein, deaktivieren Sie einfach den Zugriff auf die Dateifreigabe und beenden Sie die Netzwerkkarte in der VM nach der anfänglichen Infektionsperiode.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.