Tengo un software que no es de confianza. Planeo ejecutarlos en un Windows 7 invitado en mi sistema operativo Windows 8 host utilizando Oracle VirtualBox. En el peor de los casos, ¿solo se verá afectado mi SO huésped? ¿Puede el hacker acceder a la información de mi sistema operativo principal? No espero que los desarrolladores de este software tengan la habilidad suficiente para hacer un "Escape de máquina virtual"
Escapar de una máquina virtual no requiere habilidad. Solo requiere que:
Internet es una cosa fabulosa; les permite a las personas hacer muchas cosas que en realidad no comprenden.
En cualquier caso, si aplica debidamente las actualizaciones de seguridad a su solución VM (es decir, cuando VirtualBox le dice que hay una nueva versión disponible, no se demora: descarga e instala esa nueva versión de inmediato ), entonces los riesgos de un escape exitoso son escasos. Un atacante "no calificado" solo puede aplicar ataques conocidos para vulnerabilidades conocidas, y el proveedor de máquinas virtuales también realiza un seguimiento de dichas vulnerabilidades. La noción relevante aquí es la de un Zero-day : un ataque que el atacante conoce antes que todos los demás; su suposición de "atacante no cualificado" realmente significa que los atacantes no pueden usar vulnerabilidades de día cero.
Dicho esto, si bien puede suponer que su VM es robusta, todavía existen riesgos de configuración incorrecta. Las soluciones de VM, en particular VirtualBox, permiten "accesos directos" entre el huésped y el host. VirtualBox llama a estas adiciones de invitados . En particular, estos permiten carpetas compartidas; pero también la integración del mouse, el acceso al portapapeles, los gráficos en 3D a través de ... Estas son tantas rutas de escape por las que un código de invitado hostil podría afectar al host.
Un punto importante es que las "incorporaciones de invitados" son controladores instalados en el invitado, que ejercitan funcionalidades adicionales ofrecidas por la máquina virtual. Si no instala las adiciones para invitados, es posible que el orificio de escape aún esté allí, listo para ser utilizado. Por ejemplo, para evitar que un invitado hostil acceda a las carpetas compartidas, debe deshabilitarlo (o no habilitarlo) desde VM configuración .
Del mismo modo, si permite que la máquina virtual use la configuración de red predeterminada (NAT), el código hostil puede hacer llamadas de red a otras máquinas dentro de su red local.
Por lo tanto, debe revisar todas las configuraciones de VM para asegurarse de desactivar todas las funciones que podrían permitir un escape o un impacto no deseado fuera del huésped. En particular, cuide la configuración de la red (es más simple si la desactiva por completo o usa redes internas ).
Hay una opción para montar dispositivos USB y compartir carpetas en el sistema operativo principal con la máquina virtual. NO LO HAGA, si un malware que se ejecuta en una máquina virtual obtiene acceso a sus carpetas de sistema operativo principal / USB, esto afectará los archivos que contiene y, por lo tanto, si abre esos archivos infectados desde su sistema operativo principal, la infección se propagará.
Hace años, creé una aplicación experimental en C que se agrega a otros archivos EXE. Lo ejecuté en una máquina virtual, olvidando que había compartido una carpeta en mi SO principal. Todos los archivos ejecutados en mi carpeta principal se vieron afectados.
Es una buena lista de TMR_OS, pero agrega:
Una máquina virtual también puede explotar vulnerabilidades en el hardware al que se conecta (por ejemplo, si "redirige" un dispositivo USB a la máquina virtual), aquí está un ejemplo con una cámara web Apple iSight.
La reprogramabilidad del firmware iSight puede ser explotada para llevar a cabo una máquina virtual de escape donde se ejecuta el malware en un sistema operativo invitado es capaz de escapar de los confines de La máquina virtual e influye en el sistema operativo del host. Un método es reprogramar el iSight desde el interior del Máquina virtual para actuar como un dispositivo de interfaz humana USB (HID) como el mouse o el teclado Una vez que la iSight vuelve a enumerar, enviaría movimientos del ratón y clics o pulsaciones de teclas que El sistema operativo del host se interpretaría como acciones de el usuario.
En este caso, reprograman la cámara web para que aparezca como un teclado estándar, abren una terminal en el host con los atajos de teclado y finalmente "escriben" comandos que descargan código malicioso en el host .
Lea otras preguntas en las etiquetas virtualization