web-dev-qa-db-ja.com

.ovaファイルにエクスプロイトを含めることはできますか?

Whonixを使用するように設定されている場合、NATネットワークにアクセスするOracle Virtualbox用の.ovaファイルを準備できますか?Whonixで使用するWindowsなどの事前構成済みの仮想マシンがありますが、それらは安全ですインポート?

Torコミュニティの誰かによって公開された不審なプロジェクトがあるのではないかと思います(興味がある場合は、ダウンロードへのリンクを送信できます)。 Guest AdditionsもこのVMで使用されます。

8
curiosity4

具体的には、exploitが含まれているかどうかは、OVAファイルがになり得るかどうかという広範な質問には関係ありません。悪意のある。幅広い質問への答えは「はい」です。

Open Virtualization Format仕様 は、いくつかの潜在的なベクトルのアイデアを提供しますが、明らかなのは、OSディスク全体をVMにマップし、次に、VMブート時に、ネットワークを介してそれを引き出したり、ディスク上のファイルを変更して特権を昇格したり、マルウェアを削除したりするコードを実行します(ファイルシステムアクセスに関するOSのセキュリティ制御に準拠する必要はありません。 VMは、任意のUSBデバイスをVM(挿入されたUSBスティックを含む)にマップして、好きなように使用することもできます。

より複雑な攻撃メカニズムに取り組みたい場合、VMは、CPU、PCH、またはメモリのプラットフォームの脆弱性(たとえば、最近のvPro/AMTバグ、またはロウハンマー)を利用して、=を効果的にエスケープすることができます。 VM環境を構築し、ホスト上で任意のコードを実行します。

信頼できないOVF VMは絶対に実行しないでください。

21
Polynomial

どのファイルにもエクスプロイトが含まれている可能性があります。

動作するかどうか、またはローダーが必要かどうかは別の話です。

たとえば、.ovaファイルの処理にバッファオーバーフローの脆弱性がある場合、そうですexploitable脆弱性が含まれている可能性があります。

それはすべて、エクスプロイトを含むファイルを処理する脆弱なアプリケーションがあるかどうかに依存します。

16
Mark Buffalo

はい、OVAファイルに含まれているようなゲストOSには悪意のあるコードが含まれている可能性があります。特定の複雑さの単なるデータファイルでも、エクスプロイトを効果的に起動できます。

したがって、Qubesのすべての側面は特権を防止するように設計されているため、探しているWhonixのフレーバーは、 Qubes OS ハイパーバイザーで実行されるものです。ゲストVM内からのエスカレーション攻撃。実際、作成者は、ゲストの侵害が発生する可能性が高く、その場合、システムの残りの部分を合理的に安全なOSで保護する必要があると想定しています。

Whonix WebサイトにリストされているQubes のセキュリティ上の利点 の長いリストに注意してください。

逆に、VirtualBoxは それほど厳密ではありません VM主に管理者の便宜のために設計された環境で、リンクの2番目の箇条書きとして説明します。

これは、Qubesがどのような状況でも不浸透性であると主張するものではありませんが、ほとんどのシナリオでは、かなりの水準を引き上げます。あなたの目標は疑わしい意図のコードがTorトンネルから何らかの方法でエスケープまたはリークするのを防ぐことであると思われるので、おそらくそれがあなたの最良のオプションです。

Qubesの主な欠点は、GPUアクセスの損失に加えて、ハードウェアに関していかに細心の注意が必要かです。 IOMMU、SLAT、EPTなどの高度なCPU機能と、それらを正しく構成するBIOSが必要です。 Qubes HCLはハードウェアガイドとして存在します。

Qubes HVMとして使用するためのOVAファイルの変換:

まず、OVAをAppVMにダウンロードしてから、次の手順を実行します。

tar xvf filename.ova
# ...produces a .vmdk disk image
qemu-img convert -f vmdk filename-disk1.vmdk -O raw filename.img
# ...produces a flat disk image

次に、HVMをQubes(ここでは 'mynewHVM'と呼びます)に作成し、次にdom0に作成します。

qvm-run -p myappvm 'cat /home/user/filename.img' >filename.img
# ...transfer img from appVM to dom0
mv filename.img /var/lib/qubes/appvms/mynewHVM/root.img
# ...for Qubes 3.x

そこから、HVMの設定パネルにアクセスし、Networksys-whonixに変更できます。

最後に、ディスクイメージにWindows OSが含まれている場合は、 これらのヒントを参照してください。

3
tasket