VMware,Inc. (Virtual Machine ware)是一个“虚拟PC”软件公司,提供服务器、桌面虚拟化的解决方案,ESX服务器(一种能直接在硬件上运行的企业级的虚拟平台),其虚拟的SMP让一个虚拟机同时使用四个物理处理器,和VMFS使多个ESX服务器分享块存储器。虚拟机让我们能够分享主机的资源并提供隔离。在理想的世界中,一个程序运行在虚拟机里,他应该无法影响其他虚拟机。不幸的是,由于技术的限制和虚拟化软件的一些bug,这种理想世界并不存在。在某些情况下,在虚拟机里运行的程序会绕过底层,从而利用宿主机,这种技术叫做虚拟机逃逸技术,由于宿主机的特权地位,其结果是整个安全模型完全崩溃。这也就是说,你在虚拟机上测试病毒、恶意软件,这些东西如果设计好的话,就会通过虚拟机进入你的系统!!!
虚拟机逃逸指的是突破虚拟机的限制,实现与宿主机操作系统交互的一个过程,攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。早在2016年举办的PwnFest黑客大会上(由Power of Community组织,在韩国首尔举办),研究人员唐青昊成功实现了VMware的虚拟机逃逸,这也是VMware首次在公开场合被攻陷,震惊世人。然后再2018年,长亭科技安全研究员张焱宇利用VMware虚拟化平台的3个漏洞,从一台Linux虚拟机内部进行攻击,仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制,展示了私有云系统所存在的安全问题,成功挑战世界级难度虚拟机逃逸。
从虚拟机中逃逸,一直以来被看作类似于一种黑色操作。你不断的能听到研究人员们研究一些恶意软件样本的传言,而这些恶意软件可以从虚拟客户机逃逸到主机里。与此同时,其他研究人员也在研究一些允许攻击者从虚拟机中逃逸的漏洞。这些有形的攻击威胁到了虚拟化项目的神圣性,而虚拟化在许多公司里相当流行,因为在服务器整合和功耗方面,它们具有很大的优势。但漏洞利用工具的数量也正在日益高涨,每一个月都会增加不少。Immunity是一家安全评估和渗透测试的公司,它向外界提供了一个被称为Cloudburst的工具软件的详细信息,该工具由高级安全研究员Kostya Kortchinsky开发,Immunity表示,Cloudburst具有可以破坏(corrupt)内存的能力,这允许它以隧道方式在客户机帧缓冲区(frame buffer)之上建立起与主机的MOSDEF连接,从而与主机进行通信。MOSDEF是CANVAS工具集里的漏洞利用工具,它由Immunity公司创始人Dave Aitel开发。在黑帽大会上,Kortchinsky向外界做了一次报告,解释了他如何利用VMware模拟视频设备的漏洞来进行攻击,他还演示了如何利用主机泄漏到客户机的内存,以及如何从客户机向主机内存中的任何位置写入任意数据。"视频适配器处理最复杂的数据,"他说到。"它有一个特别巨大的共享内存。"Kortchinsky说,相同的代码模拟每个VMware产品上的设备。"如果有一个漏洞存在,那么每一个VMware的产品上都存在该漏洞,而且通过I / O端口或内存映射I / O端口可以从客户机上对其进行访问"。
虚拟机逃逸的漏洞对于作为一个具有购买权力和负责决策的安全经理来说,它对于你意味着什么呢?虚拟化的威胁一直是抽象的,理论多于实践。当然,目前还存在着一些不易察觉的、虚拟的rootkit技术,但这要求黑客具有对技术的理解天赋,而把一些非常复杂的东西作为攻击的工具对黑客来说似乎是不可行的。专家同时警告说,虚拟环境里有形的威胁已经出现,但对于这些理论性的东西,你仍然不可能制定企业自身战略并购买相应的虚拟化产品。你很可能需要做的就是,跟上虚拟化的趋势,因为它能带来很大的好处,让用户垂涎欲滴。而它的安全性问题将来也会随之来临。
针对虚拟机的攻击已从理论慢慢的变成现实。陆续有高危的漏洞被挖掘出来,因此以后出现更多安全漏洞几乎是必然的事情。网络不应该依赖传统的安全措施,因为它们不能抵御每个虚拟机的威胁。到目前为止,大多数组织都在反应有关虚拟环境的安全问题,以及不断涌现的新攻击、漏洞利用程序和POC(漏洞验证性触发代码)虚拟机的安全正处于风口浪尖的境地。
中文
电话咨询
微信咨询
公众号
