Ich mache mir Sorgen, dass auf VMs laufende Programme aus der Virtualbox auf meinen Hostcomputer entkommen, aber da ich weiß, dass für die meisten Escape-Aktionen Root-Rechte erforderlich sind, gebe ich beim Ausführen von Programmen von Drittanbietern nie das Root-Passwort ein. Reicht das aus, um die Escape-Sicherheitslücke zu vermeiden?
Antwort1
Die kurze Antwort lautet, dass der Root-Zugriff innerhalb der VM nicht garantiert ist. Er erschwert einigen Formen von Malware den Zugriff, aber nicht allen.
Mein Ratschlag lautet: Gehen Sie davon aus, dass alles, dem Sie nicht vertrauen, schuldig ist, bis Ihre Unschuld bewiesen ist. Das heißt: Gehen Sie davon aus, dass alles, dem Sie nicht vertrauen, definitiv böswillig ist, und freuen Sie sich, wenn sich herausstellt, dass Sie Unrecht haben.
Zu diesem Zweck würde ich so viele Ratschläge wie möglich zur Analyse bekannter Malware durchgehen. Es gibt einige gute Ratschläge zu den Risiken. Nachdem ich einige davon gelesen habe, würde ich sagen, dass der allgemeine Konsens darin besteht, dass esSindimmer noch Risiken. Spezifische Angriffsvektoren sind/waren:
- Würmer, die von Rechner zu Rechner über das Netzwerk springen können. Ihre VM ist höchstwahrscheinlich im Netzwerk, ebenso wie Ihr Host. Denken Sie daran, dass Ihr PC normalerweise hinter einer Firewall sitzt (selbst ein Heimrouter), die viele Angriffe blockiert. Wenn Sie eine VM ausführen, wird die Malware in Ihrem Netzwerk hinter der Firewall platziert.
- Es gibt CPU-Timing-Exploits. SieheKernschmelzeUndGespenst. Auch ohne die VM zu verlassen besteht das Risiko, dass diesTypvon Bugs können geheime Informationen Ihres Hosts preisgeben.
- VM-Tools. Diese sind implizit dafür konzipiert, Ihrer VM Zugriff auf Funktionen auf dem Host zu gewähren, und Exploits können mehr Zugriff gewähren als erwartet. Normalerweisebrauchendiese zu installieren, aber wenn Sie das tun, könnten sie anfällig sein.
Aus Ihren Fragen und Kommentaren
aber wie ich weiß, müssen die meisten Escape-Aktionen das Root-Privileg erhalten
„die meisten“ ist im Bereich Sicherheit kein gutes Wort.
Wenn Sie einer Anwendung nicht vertrauen, führen Sie sie nicht aus.
Aber das ist das wahre Leben und das ist nicht immer eine Option. Aber es ist eine vernünftige Faustregel. Wenn Sie nicht absichtlich versuchen, Malware zu analysieren, überprüfen Sie zuerst den Ursprung dessen, was Sie installieren. Überprüfen Sie, ob es aus einer seriösen Quelle stammt, und tun Sie, was Sie können, um herauszufinden, wie viele Leute es verwenden/online darüber sprechen.
Referenzen für weitere Lektüre (lesen Sie hier die vollständigen Antworten!)
https://security.stackexchange.com/a/3060/10066
VMs können definitiv überkreuzen. Normalerweise sind sie vernetzt, sodass sich Malware mit einer Netzwerkkomponente (z. B. Würmer) überall dort ausbreitet, wo ihre Adressierung/Weiterleitung es zulässt. Normale Viren agieren in der Regel nur im Benutzermodus, sodass sie zwar nicht offen kommunizieren, aber dennoch einen verdeckten Kanal einrichten können. Wenn Sie CPUs gemeinsam nutzen, kann ein aktiver Prozess auf einer VM seinen Status effektiv an eine andere VM übermitteln (das ist Ihr prototypischer verdeckter Timing-Kanal).
https://security.stackexchange.com/a/3058/10066
Trotzdem ist es ziemlich gut. Wahrscheinlich verfügt die meiste Malware, auf die Sie im Feld stoßen, nicht über speziellen Code, um aus einer VM zu entkommen. Und die Ausführung der Malware in einer VM ist sicherlich viel sicherer, als sie direkt auf Ihrem alltäglichen Arbeitscomputer zu installieren!
https://security.stackexchange.com/a/23503/10066
Die wenigen Schwachstellen, die ich heutzutage sehe, liegen eher im Bereich „vmtools“. Das ist die Software, die Sie installieren, damit das Gastbetriebssystem effizienter läuft (bei VMWare ermöglicht sie die sofortige Erfassung des Cursors und die gemeinsame Nutzung zwischen Gast und Host ohne Netzwerk). Dies ist ein spezieller Softwarepfad für Infektionen; installieren Sie die Tools nicht, sonst besteht die Schwachstelle nicht.