Me preocupaba que los programas que se ejecutan en máquinas virtuales escapen de Virtualbox a mi máquina host, pero como sé que la mayoría de las acciones de escape necesitan obtener el privilegio de root, nunca escribo la contraseña de root cuando ejecuto programas de terceros, ¿es eso suficiente para evitarlo? escapar de la vulnerabilidad?
Respuesta1
La respuesta corta es que el acceso root dentro de la VM no es garantía. Lo hace más difícil para algunas formas de malware, pero no para todas.
Mi consejo es asumir que todo lo que no es de confianza es culpable hasta que se demuestre su inocencia. Es decir, asuma que todo lo que no es de confianza es definitivamente malicioso y sea feliz cuando se demuestre que está equivocado.
Con ese fin, revisaría todos los consejos que pueda sobre cómo analizar el malware conocido. Hay algunos buenos consejos sobre los riesgos. Después de leer algo de esto, diría que el consenso general parece ser que haysontodavía hay riesgos. Los vectores de ataque específicos son/han sido:
- gusanos que pueden saltar de una máquina a otra a través de la red. Lo más probable es que su máquina virtual esté en la red y también su host. Recuerde que su PC generalmente se encuentra detrás de un firewall (incluso solo un enrutador doméstico) que bloquea muchos ataques en la puerta. Al ejecutar una máquina virtual, el malware de su red se coloca dentro del firewall.
- Existen vulnerabilidades de sincronización de la CPU. VerFusión de un reactoryEspectro. Incluso sin escapar de la VM, existe el riesgo de que estotipode error puede revelar información secreta de su anfitrión.
- Herramientas de máquinas virtuales. Estos están implícitamente diseñados para brindarle a su máquina virtual acceso a funciones del host y los exploits pueden brindarle más acceso del esperado. normalmente no lo hacesnecesidadinstalarlos, pero si lo hace, podrían ser vulnerables.
De tu pregunta y comentarios.
pero como sé, la mayoría de las acciones de escape necesitan obtener el privilegio de root.
"la mayoría" no es una buena palabra en seguridad.
Si no confía en una aplicación, no la ejecute.
Pero esto es la vida real y no siempre es una opción. Pero es una regla general razonable. Si no está intentando analizar deliberadamente el malware, primero verifique el origen de lo que instala. Verifique que provenga de una fuente confiable y haga lo que pueda para verificar cuántas personas lo usan o hablan de él en línea.
Referencias para lecturas adicionales (¡lea las respuestas completas aquí!)
https://security.stackexchange.com/a/3060/10066
Las máquinas virtuales definitivamente pueden cruzar. Por lo general, los tiene conectados en red, por lo que cualquier malware con un componente de red (es decir, gusanos) se propagará dondequiera que su direccionamiento/enrutamiento lo permita. Los virus normales tienden a operar sólo en modo de usuario, por lo que, si bien no pueden comunicarse abiertamente, aún pueden establecer un canal encubierto. Si comparte CPU, un proceso ocupado en una máquina virtual puede comunicar de manera efectiva el estado a otra máquina virtual (ese es su canal encubierto de sincronización prototípico).
https://security.stackexchange.com/a/3058/10066
Aún así, es bastante bueno. Probablemente la mayoría del malware que encuentre en el campo no tendrá un código especial para escapar de una máquina virtual. ¡Y ejecutar el malware en una máquina virtual es ciertamente mucho más seguro que instalarlo directamente en su máquina de trabajo diaria!
https://security.stackexchange.com/a/23503/10066
Las pocas vulnerabilidades que veo estos días se basan más en la parte 'vmtools'. Este es el software que instala para hacer que el sistema operativo invitado se ejecute de manera más eficiente (para VMWare, esto es lo que permite capturar el cursor sobre la marcha y compartirlo entre el invitado y el host sin una red). Esta es una vía de software especial para la infección; no instale las herramientas, no tenga la vulnerabilidad.