¿Es una máquina virtual insegura en un host seguro vulnerable al wannacry?

Navega tus respuestas
0

Suponga que un host de Windows es razonablemente seguro (las últimas actualizaciones / parches de Windows, antivirus empresarial actualizado).

¿Qué tan vulnerable es en este contexto una máquina virtual con un sistema operativo Windows no actualizado y un antivirus antiguo y no actualizado? 1)

¿Qué factores (si los hay) afectan esto? Acceso a Internet, configuración de invitado VM, etc.

1) Supongamos que tiene una máquina virtual antigua en la que necesita trabajar, para la cual una actualización tendría un costo significativo o no sería posible (soporte de aplicaciones heredadas, o simplemente el ámbito de la máquina virtual es probar una aplicación en ese entorno específico).

Aparentemente mi pregunta no es lo suficientemente clara. Así que permítanme reformularlo así: tiene un sistema A que está a salvo de wannacry (es decir, está parcheado y no puede infectarse, tiene un antivirus actualizado). Usted tiene un sistema B, el cual, por sí solo, no está a salvo de la wannacry (es decir, no parcheado, puede infectarse, antiguas definiciones de antivirus). Si ejecuta el sistema B como una máquina virtual dentro del sistema A, ¿B todavía puede infectarse o el hecho de que se ejecute como una máquina virtual dentro de un sistema seguro bloquea el vector de ataque? ¿Puede el antivirus de A evitar que Wannacry entre en B?

    
pregunta bolov 19.05.2017 - 10:16
fuente

2 respuestas

1

TL; DR: trata una máquina virtual como si fuera una máquina física como cualquier otra.

La presencia de parches de seguridad en un host no evitará que la máquina virtual del cliente sea vulnerable.

WannaCry tiene 2 rutas de infección -

  
  • Llegada a través de correos electrónicos de ingeniería social diseñados para engañar a los usuarios para que ejecuten el malware y activen la funcionalidad de propagación de gusanos con el exploit SMB
    •   
  • La infección a través de SMB explota cuando una computadora no parcheada es direccionable desde otras máquinas infectadas
    •   

Fuente: enlace

En otras palabras, la máquina virtual es vulnerable SI otra máquina en su entorno es golpeada por WannaCry y la máquina virtual tiene algún servicio SMB habilitado (y la mayoría lo hace incluso si se trata de archivos compartidos "admin" como \machine\c$ ).

    
respondido por el James Snell 23.05.2017 - 15:07
fuente
-2

La respuesta simple a su pregunta es: "Una máquina virtual insegura en un host seguro es vulnerable al wannacry"

Tenga en cuenta que una VM es un entorno de espacio aislado. El propósito de la máquina virtual es simular el sistema para el que fue diseñado.

La posible ambigüedad en su pregunta es "VM insegura en un host seguro". Sin duda, la máquina virtual que se ejecuta en un host todavía se asigna lógicamente como dos dispositivos (VM y el "host seguro") en la red. Puedes usar cualquier escáner de red para probar este resultado. Los escáneres avanzados pueden asignar la máquina VM al HOST pero, sin embargo, se tratan como un hardware separado.

No se equivoque sobre qué es exactamente WannaCry,

  

WannaCry es un ransomware, que cifra los sistemas de archivos y se propaga a través de la red explotando un vulnerabilidad de RCE .   Esta no es la primera aparición de wannaCry, podemos confirmar que se trata de una versión modificada del anterior W.Crypto ransomware agregando el exploit Nero Zero-day filtrado para características similares a gusanos.

En el momento en que el sistema de archivos de la VM está cifrado por el RSA de 2048 bits de W.cry, el resultado es que WannaCry ha tenido éxito, incluso si la propagación falla.

Dado que no ha mencionado varias máquinas virtuales, y el host que delimita a la máquina virtual es seguro, no es probable la propagación. Si hubiera varias máquinas virtuales vulnerables ejecutándose dentro de la misma red o máquina, nuevamente puede presenciar el efecto de propagación de WannaCry.

"Los factores que afectan" es una pregunta realmente vaga. Nuestra organización cree que, aunque wannaCry tiene una característica similar a un gusano, es principalmente un ransomware. Así que se requiere algo de Ingeniería Social para establecerse en primer lugar. Como hacer clic en un archivo adjunto de correo, o un enlace a un sitio web, hacer clic en "Aceptar" para una aplicación desconocida en el UAC de Windows, etc.

Como mencionó que su entorno es seguro y que solo la VM es vulnerable, tendrá que activar WannaCry solo desde la VM para que lo infecte a través de cualquiera de los anteriores.

Creo que esto responde a la consulta, pero una pregunta más precisa nos ayudaría a entender el escenario.

    
respondido por el Adib N 19.05.2017 - 12:34
fuente

Lea otras preguntas en las etiquetas

¿Impedir la mejor práctica en el cruce de caminos? ¿Cuál es el nombre de este tipo de ataque usando encriptación transparente?