V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rv54ntjwfm3ug8
V2EX  ›  信息安全

如何尽可能防止虚拟机逃逸?

  •  
  •   rv54ntjwfm3ug8 · 2022-03-05 13:39:19 +08:00 · 4144 次点击
    这是一个创建于 1023 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这几年出现了不少虚拟机逃逸的漏洞,有的是利用虚拟机通信和宿主机间通讯工具的漏洞,有的是利用内网
    想问问如果 VMware Workstation 的虚拟机配置 vmx 禁用 back door ,用 host-only 的内网通过另一台虚拟机和主机中转文件,主机 Windows Firewall 禁止所有入站流量,能有效降低虚拟机逃逸的可能吗?
    8 条回复    2022-08-16 09:27:03 +08:00
    documentzhangx66
        1
    documentzhangx66  
       2022-03-05 13:51:52 +08:00
    漏洞是防不了的,只能等补丁来修复。
    codehz
        2
    codehz  
       2022-03-05 16:06:05 +08:00
    关闭硬件加速(
    有可能的话用不同架构的硬件
    disk
        3
    disk  
       2022-03-05 16:36:35 +08:00
    减少攻击面,增加隔离吧。严防死守终有漏网之鱼,做好风险控制。
    0o0O0o0O0o
        4
    0o0O0o0O0o  
       2022-03-05 16:45:44 +08:00 via iPhone
    积极关注,及时更新,host 和 guest 都使用最少的软硬件,不直通,不共享,不装各类 vm tools ,并且 host 也视作不安全,不放个人文件,摄像头麦克风蓝牙无线 NFC 都拆了,用路由器限制 host 的流量和对内网的访问,并且在路由器配置白名单的、匿名的、可靠的透明代理,在此基础上再考虑不同虚拟机套个娃?
    opengps
        5
    opengps  
       2022-03-06 10:54:36 +08:00 via Android
    漏洞是不可避免的,很多小问题本身不算问题,但组合后却是个巨大的漏洞
    mikywei
        6
    mikywei  
       2022-03-06 12:44:15 +08:00
    不想打补丁的话,最好是做好虚拟机安全和虚拟化系统的安全访问了(逃逸的前提是你先登录了我的虚拟机才能去执行逃逸漏洞利用操作),安装 EDR 之类的杀毒软件我感觉效率太低了,拼命优化服务器和应用代码性能结果被 EDR 占用了 20%来扫描检测病毒和攻击,想想就觉得可惜。
    还有一种就是搞嵌入虚拟化系统的虚拟化防火墙,不过这种要改变虚拟化系统的网络架构加虚拟交换机之类的,变动也很大。
    wangkai0351
        7
    wangkai0351  
       2022-03-19 18:55:16 +08:00
    只要允许攻击者在虚拟机 OS 里执行命令 /程序就有可能导致虚拟机逃逸,backdoor 只是一个攻击面,更大的攻击面在于 hypervisor 进程中虚拟出的众多“软”外设,比如 2020 年天府杯的选手是从 vmware 的 USB 主机控制器接口这个软外设完成逃逸的。
    wildlynx
        8
    wildlynx  
       2022-08-16 09:27:03 +08:00
    host 使用 64 位的 FreeBSD ,guest 使用 32 位的 windows ,会不会降低逃逸风险?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2937 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:25 · PVG 21:25 · LAX 05:25 · JFK 08:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.