¿Puede el archivo .ova contener un exploit?

8

¿Es posible preparar un archivo .ova para Oracle Virtualbox que accederá a la red NAT cuando esté configurado para usar Whonix? Existen máquinas virtuales preconfiguradas como Windows para usar en Whonix, pero ¿son seguras para importar?

Me pregunto porque hay un proyecto sospechoso publicado por alguien en la comunidad de Tor (si alguien está interesado, puedo enviar un enlace para descargar). Las adiciones de invitados también son utilizadas por esta máquina virtual.

    
pregunta curiosity4 14.12.2017 - 19:35
fuente

3 respuestas

22

Si contiene o no un exploit , específicamente, es irrelevante en la pregunta más amplia de si un archivo OVA puede ser malicioso . La respuesta a la pregunta más amplia es sí, absolutamente.

La especificación del Formato de virtualización abierta le da una idea de algunas de los posibles vectores, pero el más obvio es que puede asignar todo el disco de su sistema operativo a la máquina virtual y luego, al iniciar la máquina virtual, ejecute el código que lo filtra a través de la red o modifica los archivos en el disco para aumentar los privilegios o eliminar el malware (no no tiene que adherirse a los controles de seguridad de su sistema operativo alrededor del acceso al sistema de archivos en ese momento). La VM también podría asignar dispositivos USB arbitrarios a la VM (incluidas las memorias USB insertadas) y utilizarlos como desee.

Si queremos entrar en mecanismos de ataque más complejos, la VM podría utilizar vulnerabilidades de la plataforma en la CPU, PCH o memoria (por ejemplo, errores vPro / AMT recientes, o rowhammer) para escapar efectivamente del entorno de la VM y ejecutar código arbitrario en el anfitrión.

No debe ejecutar máquinas virtuales OVF que no sean de confianza.

    
respondido por el Polynomial 14.12.2017 - 21:05
fuente
16

Cualquier archivo puede contener un exploit.

Si funciona o no, o si requiere un cargador, es otra historia.

Por ejemplo, si hay una vulnerabilidad de desbordamiento del búfer en el procesamiento de los archivos .ova , entonces sí, podría contener una vulnerabilidad explotable .

Todo depende de si tienes o no una aplicación vulnerable que procesa el archivo que contiene un exploit.

    
respondido por el Mark Buffalo 14.12.2017 - 19:43
fuente
3

Sí, cualquier sistema operativo invitado, como el contenido en los archivos OVA, puede llevar código malicioso; incluso meros archivos de datos de cierta complejidad pueden lanzar explotaciones de manera efectiva.

Por lo tanto, el sabor de Whonix que puede estar buscando es el que se ejecuta bajo el hipervisor Qubes OS , como cada El aspecto de Qubes está diseñado para evitar ataques de escalamiento de privilegios desde máquinas virtuales invitadas. De hecho, los creadores asumen que es probable que haya un compromiso con el huésped y que, en ese caso, un sistema operativo razonablemente seguro debería proteger al resto del sistema.

Tenga en cuenta la larga lista de Qubes ventajas de seguridad que figuran en el sitio web de Whonix.

Por el contrario, VirtualBox es mucho menos estricto El entorno de VM está diseñado principalmente para la conveniencia del administrador, como lo explica la segunda viñeta en el enlace.

Esto no es para afirmar que Qubes es impermeable en ninguna situación, pero para la mayoría de los escenarios eleva considerablemente el nivel. Debido a que su objetivo parece ser evitar que el código de intención cuestionable se escape o se escape de un túnel Tor, es probablemente su mejor opción.

El principal inconveniente de Qubes, además de la pérdida de acceso a la GPU, es lo delicado que es el hardware. Necesita características avanzadas de CPU, como IOMMU, SLAT, EPT y un BIOS que las configure de manera exacta. El Qubes HCL existe como una guía de hardware.

Convirtiendo su archivo OVA para usarlo como Qubes HVM:

Primero, descargue el OVA a un AppVM y luego:

tar xvf filename.ova
# ...produces a .vmdk disk image
qemu-img convert -f vmdk filename-disk1.vmdk -O raw filename.img
# ...produces a flat disk image

A continuación, cree un HVM en Qubes (aquí llamado 'mynewHVM'), luego en dom0:

qvm-run -p myappvm 'cat /home/user/filename.img' >filename.img
# ...transfer img from appVM to dom0
mv filename.img /var/lib/qubes/appvms/mynewHVM/root.img
# ...for Qubes 3.x

Desde allí puede acceder al panel de configuración de HVM y cambiar de Network a sys-whonix .

Finalmente, si la imagen de su disco contiene un sistema operativo Windows, consulte estos consejos.

    
respondido por el tasket 14.12.2017 - 22:39
fuente

Lea otras preguntas en las etiquetas