Todas las preguntas se refieren al revés, es decir. ¿Puede una máquina virtual comprometer el host? Pero estoy preguntando si un virus en la máquina host puede comprometer la máquina virtual invitada.
Todas las preguntas se refieren al revés, es decir. ¿Puede una máquina virtual comprometer el host? Pero estoy preguntando si un virus en la máquina host puede comprometer la máquina virtual invitada.
Sí, puede.
Todos los datos almacenados en los discos duros virtuales de las máquinas virtuales se almacenan en el disco duro del sistema host. Cuando las máquinas virtuales están en estado "suspendido", su contenido de RAM también se guarda en el disco duro del host. Cualquier malware que pueda acceder a estos archivos puede leer y modificar su contenido.
Otro vector de ataque sería apuntar directamente al proceso del hipervisor e inyectar código en él. Cuando uno controla el hipervisor, uno controla las máquinas virtuales que ejecuta.
Se detectó un malware llamado Crisis que se dirige a las imágenes de máquinas virtuales en el máquina se ejecuta en. Un ataque del sistema host elude la mayoría de las funciones de seguridad que podría tener un sistema invitado, lo que significa que sería casi imposible endurecer un sistema invitado contra este tipo de ataque.
Si un virus está en la máquina host y opera como un usuario normal / privilegiado, y un usuario normal / privilegiado en esa máquina puede usar la máquina virtual, no hay nada que evite que el virus comprometa los datos privados de la máquina virtual.
El modelo de seguridad de las máquinas virtuales no protege ni separa al invitado del host, todo lo contrario, el acceso al invitado se facilita de muchas maneras: integración con el host (piense en la unidad VmWare), API que hacen que la administración del invitado sea simple y Recursos automatizados y compartidos (dispositivos de entrada, almacenamiento, etc.)
Un virus del que hablas es tan poco llamativo, tan poco llamativo que termina siendo notable cuando sucede. Había a lot of media cobertura cuando el primer malware que infectó a los invitados virtuales se descubrió por primera vez en 2012.
Cuando se encuentra con una PC con Windows, Crisis busca activamente imágenes de máquinas virtuales de VMware. Cuando se encuentran, el malware se copia a sí mismo en una imagen utilizando VMware Player.
No utiliza una vulnerabilidad en el software VMware, aprovecha un atributo de todo el software de virtualización: es decir, que la máquina virtual es simplemente un archivo o una serie de archivos en el disco de la máquina host. Estos archivos generalmente se pueden manipular o montar directamente, incluso cuando las máquinas virtuales no se están ejecutando.
Su objetivo es entrar en la mayor cantidad de sistemas posible para robar la máxima cantidad de información.
El bajo número de infecciones y su amplia distribución geográfica. podría sugerir que este malware se utiliza en ataques dirigidos en lugar de que los generalizados.
Lea otras preguntas en las etiquetas virtualization malware