¿Mi máquina host está completamente aislada de una máquina virtual infectada por virus?

52

Si estoy ejecutando una máquina virtual de Windows 7 en un host de Windows 7 usando VMWare o VirtualBox (o cualquier otra cosa) y la máquina virtual está completamente sobrecargada con virus y otro software malicioso, ¿debería preocuparme por mi máquina host?

Si tengo un programa antivirus en la máquina host, ¿detectará algún problema?

Diogo
fuente

Respuestas:

57

Lo que todas las respuestas se han perdido hasta ahora es que hay más vectores de ataque que solo conexiones de red y uso compartido de archivos, pero con todas las otras partes de una máquina virtual, especialmente en lo que respecta a la virtualización de hardware. Un buen ejemplo de esto se muestra a continuación (ref. 2) donde un SO huésped puede salir del contenedor VMware usando el puerto COM virtual emulado.

Otro vector de ataque, comúnmente incluido y a veces habilitado por defecto, en casi todos los procesadores modernos, es la virtualización x86 . Si bien puede argumentar que tener la red habilitada en una VM es el mayor riesgo de seguridad (y de hecho, es un riesgo que debe considerarse), esto solo impide que los virus se transmitan de la misma manera que se transmiten en cualquier otra computadora, a través de una red. Para esto se utiliza su software antivirus y cortafuegos. Habiendo dicho eso...

Ha habido brotes de virus que en realidad pueden "explotar" en máquinas virtuales, lo que se ha documentado en el pasado (consulte las referencias 1 y 2 a continuación para obtener detalles / ejemplos). Si bien una solución discutible es deshabilitar la virtualización x86 (y aprovechar el rendimiento al ejecutar la máquina virtual), cualquier software antivirus moderno (decente) debería poder protegerlo de estos virus dentro de una razón limitada. Incluso DEPproporcionará protección hasta cierto punto, pero nada más cuando el virus se ejecute en su sistema operativo real (y no en una máquina virtual). Nuevamente, observando las referencias a continuación, hay muchas otras formas en que el malware puede salir de una máquina virtual aparte de los adaptadores de red o la virtualización / traducción de instrucciones (por ejemplo, puertos COM virtuales u otros controladores de hardware emulados).

Incluso más recientemente se agrega la virtualización de E / S MMU a la mayoría de los procesadores nuevos, lo que permite DMA . No hace falta un científico de la computación para ver el riesgo de permitir que una máquina virtual con un virus de memoria directa y acceso al hardware, además de poder ejecutar código directamente en la CPU.

Presento esta respuesta simplemente porque todos los demás te aluden a creer que solo necesitas protegerte de los archivos , pero permitir que el código de virus se ejecute directamente en tu procesador es un riesgo mucho mayor en mi opinión. Algunas placas base deshabilitan estas características de forma predeterminada, pero otras no. La mejor manera de mitigar estos riesgos es deshabilitar la virtualización a menos que realmente la necesite. Si no está seguro de si lo necesita o no, desactívelo .

Si bien es cierto que algunos virus pueden atacar vulnerabilidades en el software de su máquina virtual, la gravedad de estas amenazas aumenta drásticamente cuando se tiene en cuenta la virtualización del procesador o el hardware, especialmente aquellos que requieren una emulación adicional del lado del host.


  1. Cómo recuperar las instrucciones virtualizadas x86 de Themida (Zhenxiang Jim Wang, Microsoft)

  2. Escapar de VMware Workstation a través de COM1 (Kostya Kortchinsky, Equipo de seguridad de Google)

cp2141
fuente
2
Gracias, obtuviste la mejor y más completa respuesta hasta ahora (que incluye referencias y alguna base teórica sobre el tema). Gracias.
Diogo
44
El artículo vinculado desde el texto "ha sido documentado en el pasado" no tiene nada que ver con salir de una VM . (se trata de virtualización x86 para la ofuscación de malware y la ingeniería inversa de los mismos)
Hugh Allen
@HughAllen acaba de leer el artículo e iba a comentar exactamente lo mismo. ¿No infunde exactamente la confianza de que el respondedor sabe de qué está hablando, verdad?
developerbmw
@HughAllen He agregado un nuevo ejemplo para mostrar que estos problemas son reales. En este caso, el exploit trata específicamente con VMWare, pero puede encontrar fácilmente otras divulgaciones en varios sitios web de seguridad.
Avance
@Brett Creo que el OP mencionó el artículo de visualización para mostrar que se puede abusar del intérprete / traductor para manipular las instrucciones que se ejecutan en el lado del host. También tenga en cuenta que es solo un resumen / resumen del artículo en sí y no el artículo completo. Parece que no puedo encontrar una versión completa, pero publicaré aquí si logro encontrar una copia.
Avance
17

Si está utilizando carpetas compartidas o tiene algún tipo de interacción de red entre la VM y el host, entonces tiene algo de qué preocuparse. Potencialmente, quiero decir que depende de lo que realmente hace el código malicioso.

Si no usa carpetas compartidas y no tiene ningún tipo de red habilitada, debería estar bien.

El antivirus en su máquina host no realizará ningún tipo de análisis dentro de su VM a menos que tenga cosas compartidas.

squillman
fuente
1
Creo que el OP preguntaba si el antivirus detectaría algo que hiciera posible infectar al host, en cuyo caso debería (si es algo que el AV puede detectar). En cuanto a ser seguro si está aislado, definitivamente hay un software que puede detectar el estar dentro de una VM (las herramientas de la VM para una, pero también buscar "redpill vm"), y hay trabajo (y posiblemente malware real ahora) que puede saltar fuera de una VM (busque "bluepill vm").
Synetech
77
Si bien esto es cierto, olvidó lo que sucede cuando tiene habilitada la virtualización x86. Existen virus que pueden salir de su máquina virtual de esta manera, independientemente de si tiene o no un controlador de red instalado en la VM.
cp2141
También se debe tener en cuenta que las máquinas virtuales hacen mucho más emulación / virtualización que solo conexiones de red (por ejemplo, romper una VM a través del puerto COM virtual emulado ), proporcionando muchos más vectores para intentar controlar el sistema host.
Avance
7

Si la VM está infectada con un virus que está dirigido a explotar el software de VM como VMWare Tools, podría salir, pero no creo que nada en este momento sea capaz de hacerlo. También podría explotar el host a través de la red si el host es vulnerable.

El antivirus en el sistema host no debería ver virus en la máquina virtual a menos que estén en una carpeta compartida.

Riguez
fuente
44
Hay un puñado de exploits flotando que hacen esto. Uno podría explorar los avisos de seguridad de VMware solo y encontrar algunos: vmware.com/security/advisories. Otros proveedores también tienen problemas.
Brad
@Brad, el paisaje es demasiado pequeño. Por supuesto, habría virus específicos de VMware, lo solicitan al tomar todo el pastel para ellos.
Pacerier
1

Debería estar bien, simplemente apague el acceso al uso compartido de archivos y elimine el nic dentro de la VM después del período de infección inicial.


fuente