web-dev-qa-db-ja.com

ホストマシンはウイルスに感染した仮想マシンから完全に隔離されていますか?

VMWareまたはVirtualBox(またはその他)を使用してWindows 7ホスト上でWindows 7仮想マシンを実行していて、仮想マシンがウイルスやその他の悪意のあるソフトウェアで完全に過負荷になっている場合、ホストマシンについて心配する必要がありますか?

ホストマシンにアンチウイルスプログラムをインストールしている場合、問題は検出されますか?

51
Diogo

今のところすべての答えを見逃しているのは、ネットワーク接続やファイル共有だけでなく、仮想マシンの他のすべての部分、特にハードウェアの仮想化に関して、より多くの攻撃方法があるということです。その良い例を以下に示します(参照2)。ゲストOSは、エミュレートされた仮想COMポートを使用してVMwareコンテナから抜け出すことができます。

最近のほとんどすべてのプロセッサで一般的に含まれており、デフォルトで有効になっているもう1つの攻撃ベクトルは x86 virtualization です。 VMでネットワーキングを有効にすることが最大のセキュリティ上のリスクであると考えることができますが(実際には、考慮する必要があるリスクです)、これはウイルスがお互いに伝わる方法から伝わるのを防ぐだけです。コンピュータ - ネットワークを介して。これがあなたのアンチウィルスおよびファイアウォールソフトウェアが使用されているものです。それは言われている...

過去に文書化された仮想マシンから実際に「発生する」可能性があるウイルスの発生がありました(詳細/例については下記の参考文献1と2を参照してください)。議論の余地のある解決策はx86仮想化を無効にする(そして仮想マシンを走らせるパフォーマンスヒットを取る)ことであるが、現代の(まともな)アンチウィルスソフトウェアこれらのウィルスからあなたを防御できるはずです。限られた理由 DEP でさえある程度の保護を提供しますが、ウイルスがあなたの実際のOS上で実行される(そしてVM内ではない)ときにそれ以上に何もありません。繰り返しますが、以下の参照に注意して、ネットワークアダプタや命令の仮想化/変換以外に、マルウェアが仮想マシンから抜け出す方法は他にもたくさんあります(仮想COMポート、その他のエミュレートされたハードウェアドライバなど)。

さらに最近になって、ほとんどの新しいプロセッサに I/O MMU仮想化 が追加され、これによって DMA が可能になります。 。 CPUで直接コードを実行できることに加えて、ウイルスが直接メモリとハードウェアにアクセスできる仮想マシンを許可するリスクをコンピュータ科学者が理解するのにはかかりません。

この答えを提示するのは、他のすべての人がファイルから自分自身を保護する必要があると信じるのをほのめかしているためですが、ウイルスコードを直接プロセッサ上で実行することは非常に危険です。私の考えでは。マザーボードの中にはこれらの機能をデフォルトで無効にするものもあれば無効にするものもあります。これらのリスクを軽減する最善の方法は、実際に必要な場合以外は仮想化を無効にすることです。必要かどうかわからない場合は、無効にしてください

一部のウイルスは仮想マシンソフトウェアの脆弱性を標的とする可能性がありますが、プロセッサやハードウェアの仮想化、特に追加のホスト側エミュレーションを必要とするものを考慮すると、これらの脅威の深刻度は劇的に高まります。


  1. Themida による仮想化x86命令の復元方法(Zhenxiang Jim Wang、Microsoft)

  2. COM1 を介したVMware Workstationのエスケープ(Kostya Kortchinsky、Googleセキュリティチーム)

55
cp2141

共有フォルダを使用している場合、またはVMとホストの間に何らかのネットワークの相互作用がある場合は、心配することがあります。潜在的に、私はそれが悪意のあるコードが実際に何をするのかに依存しているということです。

共有フォルダを使用せず、ネットワークを有効にしていない場合は問題ありません。

あなたのホストマシン上のアンチウィルスは、あなたが共有していない限りあなたのVM内でいかなる種類のスキャンも行いません。

17
squillman

VMがVMWare ToolsのようなVMソフトウェアの悪用を狙ったウイルスに感染している場合、それは外へ出る可能性がありますが、他に可能なことは何もないと思います現時点ではこれ。ホストが脆弱な場合、ネットワーク経由でホストを悪用する可能性もあります。

ホストシステム上のアンチウイルスは、共有フォルダに置かれていない限り、VM内のウイルスを見るべきではありません。

7
Riguez

問題ないはずですが、ファイル共有へのアクセスをオフにして、初期感染期間の後でVM内のサービスを無効にしてください。

1
user76211