Mon ordinateur hôte est-il complètement isolé d'une machine virtuelle infectée par un virus?

52

Si j'exécute une machine virtuelle Windows 7 sur un hôte Windows 7 utilisant VMWare ou VirtualBox (ou toute autre solution) et que la machine virtuelle est complètement surchargée de virus et autres logiciels malveillants, dois-je m'inquiéter pour mon ordinateur hôte?

Si j'ai un programme anti-virus sur la machine hôte, détectera-t-il un problème?

Diogo
la source

Réponses:

57

Jusqu'à présent, chaque réponse manquait: il y avait plus de vecteurs d'attaque que les connexions réseau et le partage de fichiers, mais avec toutes les autres parties d'une machine virtuelle, notamment en ce qui concerne la virtualisation du matériel. Un bon exemple de ceci est présenté ci-dessous (réf. 2), où un système d'exploitation invité peut sortir du conteneur VMware à l'aide du port COM virtuel émulé.

Un autre vecteur d'attaque, généralement inclus et parfois activé par défaut sur presque tous les processeurs modernes, est la virtualisation x86 . Bien que vous puissiez affirmer que l'activation de la mise en réseau sur une machine virtuelle constitue le principal risque en matière de sécurité (et en fait, il s'agit d'un risque qui doit être pris en compte), cela empêche uniquement les virus d'être transmis de la même manière que sur un autre ordinateur, sur un réseau. C’est la raison pour laquelle votre logiciel anti-virus et pare-feu est utilisé. Cela étant dit...

Il y a eu des épidémies de virus qui peuvent réellement "éclater" des machines virtuelles, ce qui a été documenté dans le passé (voir références 1 et 2 ci-dessous pour plus de détails / exemples). Bien qu'une solution discutable consiste à désactiver la virtualisation x86 (et à tirer le meilleur parti des performances de la machine virtuelle), tout logiciel anti-virus moderne (décent) devrait pouvoir vous protéger de ces virus avec un minimum de raisons. Même DEPfournira une protection dans une certaine mesure, mais rien de plus que lorsque le virus sera exécuté sur votre système d'exploitation actuel (et non sur une VM). Là encore, en notant les références ci-dessous, il existe de nombreux autres moyens par lesquels un logiciel malveillant peut sortir d’une machine virtuelle en dehors des cartes réseau ou de la virtualisation / traduction d’instructions (par exemple, des ports COM virtuels ou d’autres pilotes de matériel émulés).

Encore plus récemment, la virtualisation MMU E / S a été ajoutée à la plupart des nouveaux processeurs, ce qui permet le DMA . Un informaticien ne prend pas le risque de permettre à une machine virtuelle avec un accès direct à la mémoire et au matériel de virus, en plus de pouvoir exécuter du code directement sur le CPU.

Je présente cette réponse simplement parce que tous les autres vous font croire que vous devez simplement vous protéger contre les fichiers , mais permettre à un code de virus de s'exécuter directement sur votre processeur est un risque beaucoup plus important à mon avis. Certaines cartes mères désactivent ces fonctionnalités par défaut, mais d'autres non. Le meilleur moyen de limiter ces risques est de désactiver la virtualisation, sauf si vous en avez réellement besoin. Si vous ne savez pas si vous en avez besoin ou non, désactivez-le .

S'il est vrai que certains virus peuvent cibler des vulnérabilités dans le logiciel de votre machine virtuelle, la gravité de ces menaces augmente considérablement lorsque vous prenez en compte la virtualisation du processeur ou du matériel, en particulier ceux qui nécessitent une émulation supplémentaire côté hôte.


  1. Comment récupérer des instructions x86 virtualisées par Themida (Zhenxiang Jim Wang, Microsoft)

  2. Sortie de VMware Workstation via COM1 (Kostya Kortchinsky, équipe de sécurité Google)

cp2141
la source
2
Merci, vous avez obtenu le vêtement de toilette le plus complet et le plus complet jusqu'à présent (qui comprend des références et une base théorique sur le sujet). Je vous remercie.
Diogo
4
L'article lié au texte "a été documenté dans le passé" n'a rien à voir avec la sortie d'une machine virtuelle . (il est sur la virtualisation x86 pour l' obscurcissement des logiciels malveillants, et l'ingénierie inverse de ce)
Hugh Allen
@HughAllen vient de lire l'article et allait commenter exactement la même chose. Cela ne donne-t-il pas vraiment confiance au répondant qui sait de quoi il parle, n'est-ce pas?
developerbmw
@HughAllen J'ai ajouté un nouvel exemple pour montrer que ces problèmes sont bien réels. Dans ce cas, l'exploit concerne spécifiquement VMWare, mais vous pouvez facilement trouver d'autres informations sur différents sites Web de sécurité.
Percée
@Brett Je pense que l'OP a mentionné l'article de visualisation pour montrer que l'interprète / traducteur lui-même peut être abusé pour manipuler les instructions en cours d'exécution côté hôte. Notez également qu'il ne s'agit que d'un résumé / résumé de l'article lui-même et non de l'article complet. Je n'arrive pas à trouver une version complète, mais je posterai ici si je parviens à en trouver une copie.
Percée
17

Si vous utilisez des dossiers partagés ou avez une sorte d'interaction réseau entre la machine virtuelle et l'hôte, vous devez vous inquiéter de quelque chose. Par potentiellement, je veux dire que cela dépend de ce que le code malveillant fait réellement.

Si vous n'utilisez pas de dossiers partagés et qu'aucun type de réseau n'est activé, tout va bien.

L'antivirus sur votre ordinateur hôte n'effectuera aucune analyse de votre ordinateur virtuel à moins que des éléments ne soient partagés.

écailleur
la source
1
Je pense que l’opérateur demandait si l’antivirus détecterait tout ce qui pourrait permettre à l’hôte d’infecter l’hôte. Dans ce cas, il devrait le faire (s’il s’agit de quelque chose que l’AV peut détecter). En ce qui concerne la sécurité si isolé, il existe bel et bien un logiciel capable de détecter la présence d'une machine virtuelle (les outils de la machine virtuelle, mais également de rechercher «redpill vm»), et il existe un travail (et peut-être même un malware à l'heure actuelle) qui peut sauter sur une machine virtuelle (recherchez «bluepill vm»).
Synetech
7
Bien que cela soit vrai, vous avez oublié ce qui se passe lorsque la virtualisation x86 est activée. Il existe des virus qui peuvent se propager de votre machine virtuelle de cette manière, que vous ayez ou non un contrôleur de réseau installé sur la machine virtuelle.
cp2141
Il convient également de noter que les machines virtuelles effectuent beaucoup plus d'émulation / virtualisation que de simples connexions réseau (par exemple, sortir d'une machine virtuelle via le port COM virtuel émulé ), fournissant beaucoup plus de vecteurs pour tenter de contrôler le système hôte.
Percée le
7

Si la machine virtuelle est infectée par un virus destiné à exploiter le logiciel de la machine virtuelle, tel que VMWare Tools, il est possible que cela se produise, mais je ne pense pas que quoi que ce soit qui existe puisse en être capable pour le moment. Il pourrait également exploiter l'hôte sur le réseau si l'hôte est vulnérable.

L'antivirus sur le système hôte ne doit pas détecter les virus dans la VM, sauf s'ils se trouvent sur un dossier partagé.

Riguez
la source
4
Il y a une poignée d'exploits flottants qui font cela. Vous pouvez consulter les avis de sécurité VMware et en trouver quelques-uns: vmware.com/security/advisories D'autres fournisseurs ont également des problèmes.
Brad
@ Brad, le paysage est trop petit. Bien sûr, il y aurait des virus spécifiques à VMware, ils le demandent en prenant tout le gâteau à part.
Pacerier
1

Ça devrait aller, il suffit de désactiver l’accès au partage de fichiers et de tuer la carte d’accès dans la VM après la période d’infection initiale.


la source