Minha máquina host está completamente isolada de uma máquina virtual infectada por vírus?

52

Se eu estiver executando uma máquina virtual Windows 7 em um host Windows 7 usando VMWare ou VirtualBox (ou qualquer outra coisa) e a máquina virtual estiver completamente sobrecarregada com vírus e outros softwares maliciosos, devo me preocupar com minha máquina host?

Se eu tiver um programa antivírus na máquina host, ele detectará algum problema?

Diogo
fonte

Respostas:

57

O que toda resposta perdeu até agora é que existem mais vetores de ataque do que apenas conexões de rede e compartilhamento de arquivos, mas com todas as outras partes de uma máquina virtual - especialmente no que diz respeito à virtualização de hardware. Um bom exemplo disso é mostrado abaixo (ref. 2), em que um sistema operacional convidado pode sair do contêiner VMware usando a porta COM virtual emulada.

Outro vetor de ataque, geralmente incluído e às vezes ativado por padrão, em quase todos os processadores modernos, é a virtualização x86 . Embora você possa argumentar que ter a rede ativada em uma VM é o maior risco de segurança (e, de fato, é um risco que deve ser considerado), isso apenas impede que os vírus sejam transmitidos como são transmitidos em todos os outros computadores - através de uma rede. É para isso que o seu software antivírus e firewall é usado. Dito isto ...

Houve surtos de vírus que pode realmente "romper" de máquinas virtuais, que tem sido documentados no passado (ver referências 1 e 2 abaixo para detalhes / exemplos). Embora uma solução discutível seja desabilitar a virtualização x86 (e levar o desempenho ao executar a máquina virtual), qualquer software antivírus moderno (decente) deve ser capaz de protegê-lo contra esses vírus por motivos limitados. Mesmo DEPfornecerá proteção até certo ponto, mas nada mais do que quando o vírus seria executado no seu sistema operacional atual (e não em uma VM). Novamente, observando as referências abaixo, existem muitas outras maneiras pelas quais o malware pode sair de uma máquina virtual além de adaptadores de rede ou virtualização / tradução de instruções (por exemplo, portas COM virtuais ou outros drivers de hardware emulados).

Ainda mais recentemente, é a adição da virtualização MMU de E / S à maioria dos novos processadores, o que permite o DMA . Não é necessário que um cientista da computação veja o risco de permitir que uma máquina virtual com vírus acesse diretamente a memória e o hardware, além de poder executar o código diretamente na CPU.

Apresento essa resposta simplesmente porque todos os outros aludem você a acreditar que só precisa se proteger de arquivos , mas permitir que o código de vírus seja executado diretamente no seu processador é um risco muito maior na minha opinião. Algumas placas-mãe desabilitam esses recursos por padrão, mas outras não. A melhor maneira de mitigar esses riscos é desabilitar a virtualização, a menos que você realmente precise. Se você não tiver certeza se precisa ou não, desative-o .

Embora seja verdade que alguns vírus podem ter como alvo vulnerabilidades no software da máquina virtual, a severidade dessas ameaças aumenta drasticamente quando você considera a virtualização de processador ou hardware, especialmente aquelas que exigem emulação adicional no lado do host.


  1. Como recuperar instruções virtualizadas x86 de Themida (Zhenxiang Jim Wang, Microsoft)

  2. Escapando da estação de trabalho VMware pela COM1 (Kostya Kortchinsky, Equipe de Segurança do Google)

cp2141
fonte
2
Obrigado, você obteve a melhor e mais completa resposta até agora (que inclui referências e alguma base teórica sobre o assunto). Obrigado.
Diogo
4
O artigo vinculado ao texto "foi documentado no passado" não tem nada a ver com a quebra de uma VM . (trata-se de virtualização de x86 para ofuscação malware, ea engenharia reversa de tal)
Hugh Allen
@HughAllen acabou de ler o artigo e ia comentar exatamente a mesma coisa. Não instila exatamente a confiança de que o atendedor sabe do que está falando, sabe?
Developerbmw
@HughAllen Adicionei um novo exemplo para mostrar que esses problemas são realmente reais. Nesse caso, a exploração lida especificamente com o VMWare, mas você pode encontrar facilmente outras divulgações em vários sites de segurança.
Breakthrough
@Brett Acho que o OP mencionou o artigo de visualização para mostrar que o próprio intérprete / tradutor pode ser abusado para manipular quais instruções estão sendo executadas no host. Observe também que é apenas um resumo / resumo do artigo em si e não o artigo completo. Não consigo encontrar uma versão completa, mas postarei aqui se conseguir encontrar uma cópia.
Breakthrough
17

Se você estiver usando pastas compartilhadas ou tiver algum tipo de interação de rede entre a VM e o host, terá algo com que se preocupar. Por potencial, quero dizer que depende do que o código malicioso realmente faz.

Se você não usa pastas compartilhadas e não tem nenhum tipo de rede habilitado, deve ficar bem.

O antivírus na sua máquina host não fará nenhum tipo de verificação na sua VM, a menos que você tenha coisas compartilhadas.

squillman
fonte
11
Acho que o OP estava perguntando se o antivírus detectaria algo que pudesse infectar o host e, nesse caso, deveria (se for algo que o antivírus possa detectar). Quanto à segurança, se isolado, há definitivamente um software que pode detectar estar dentro de uma VM (as ferramentas da VM para uma, mas também procurar "redpill vm"), e há trabalho (e possivelmente malware real agora) que pode saltar fora de uma VM (procure "bluepill vm").
Synetech
7
Embora isso seja verdade, você esqueceu o que acontece quando a virtualização x86 está ativada. Existem vírus que podem sair da sua máquina virtual dessa maneira, independentemente de você ter ou não um controlador de rede instalado na VM.
Cp2141
Também deve ser observado que as máquinas virtuais realizam muito mais emulação / virtualização do que apenas conexões de rede (por exemplo, interromper uma VM através da porta COM virtual emulada ), fornecendo muito mais vetores para tentar controlar o sistema host.
Break
7

Se a VM estiver infectada com um vírus direcionado à exploração do software da VM, como o VMWare Tools, isso poderá ocorrer, mas acho que não há nada disponível no momento. Também pode explorar o host pela rede se o host estiver vulnerável.

O antivírus no sistema host não deve ver vírus na VM, a menos que eles estejam em uma pasta compartilhada.

Riguez
fonte
4
Existem várias explorações flutuando por aí que fazem isso. Pode-se procurar apenas os avisos de segurança da VMware e encontrar alguns: vmware.com/security/advisories Outros fornecedores também têm problemas.
Brad
@ Brad, a paisagem é muito pequena. É claro que haveria vírus específicos da VMware, eles estão solicitando isso levando a torta inteira para si.
Pacerier
1

Deve ficar bom, basta desativar o acesso ao compartilhamento de arquivos e eliminar o nic dentro da VM após o período inicial de infecção.


fonte