VM 上で実行されているプログラムが Virtualbox からホスト マシンに逃げてしまうのではないかと心配していましたが、ほとんどの逃げるアクションにはルート権限が必要であることはわかっているので、サードパーティのプログラムを実行するときにルート パスワードを入力することはありません。これで逃げる脆弱性を回避できるでしょうか?
答え1
簡単に答えると、VM 内でのルート アクセスは保証されません。一部のマルウェアにとっては困難になりますが、すべてがそうであるわけではありません。
私のアドバイスは、無実が証明されるまで、信頼できないものはすべて有罪であると想定することです。つまり、信頼できないものはすべて間違いなく悪意があると想定し、間違いが証明されたら喜ぶということです。
そのためには、既知のマルウェアを分析する方法についてできるだけ多くのアドバイスを確認することをお勧めします。リスクに関する良いアドバイスがいくつかあります。いくつか読んだところ、一般的な意見としては、は依然としてリスクはあります。具体的な攻撃ベクトルは次のとおりです。
- ネットワークを介してマシンからマシンへと移動するワーム。VM はネットワーク上にある可能性が高く、ホストも同様です。PC は通常、ファイアウォール (家庭用ルーターでも) の背後に配置されており、多くの攻撃を入り口でブロックしていることを覚えておいてください。VM を実行すると、ネットワーク上のマルウェアがファイアウォールの内側に配置されます。
- CPUタイミングエクスプロイトが存在する。メルトダウンそしてスペクターVMから脱出しなくても、これがタイプバグによりホストから秘密情報が漏洩する可能性があります。
- VMツール。これらは暗黙的にVMにホストの機能へのアクセスを与えるように設計されており、エクスプロイトによって予想以上のアクセスが与えられる可能性があります。通常は必要これらをインストールすることは可能ですが、インストールすると脆弱性が発生する可能性があります。
あなたの質問とコメントから
しかし、私が知る限り、ほとんどのエスケープアクションにはルート権限が必要です
「ほとんど」はセキュリティにおいては適切な言葉ではありません。
アプリケーションを信頼できない場合は、実行しないでください。
しかし、これは現実であり、常にそれが選択肢になるわけではありません。しかし、これは合理的な経験則です。意図的にマルウェアを分析しようとしているのでなければ、まずインストールするものの出所を確認してください。信頼できるソースからのものであることを確認し、オンラインでそれを使用している人やそれについて話している人の数を確認するためにできることをしてください。
さらに読むための参考資料(全回答はここでお読みください!)
https://security.stackexchange.com/a/3060/10066
VM は間違いなくクロスオーバーできます。通常、VM はネットワーク化されているため、ネットワーク コンポーネントを持つマルウェア (ワームなど) は、アドレス指定やルーティングが許す限りどこにでも広がります。通常のウイルスはユーザー モードでのみ動作する傾向があるため、公然と通信することはできませんが、秘密のチャネルを設定することは可能です。CPU を共有している場合、1 つの VM 上のビジー プロセスは、別の VM に状態を効果的に通信できます (これが、典型的なタイミング秘密チャネルです)。
https://security.stackexchange.com/a/3058/10066
それでも、これはかなり良いことです。おそらく、現場で遭遇するマルウェアのほとんどは、VM から逃れるための特別なコードを持っていないはずです。また、VM でマルウェアを実行することは、日常的に使用する作業マシンに直接インストールするよりもはるかに安全です。
https://security.stackexchange.com/a/23503/10066
最近目にする脆弱性は、ほとんどが「vmtools」の部分に基づいています。これは、ゲスト OS をより効率的に実行するためにインストールするソフトウェアです (VMWare の場合、これにより、オンザフライ カーソル キャプチャと、ネットワークなしでのゲストとホスト間の共有が可能になります)。これは感染のための特別なソフトウェア経路です。ツールをインストールしないと、脆弱性は発生しません。