我担心虚拟机上运行的程序会从 Virtualbox 逃逸到我的主机,但据我所知,大多数逃逸操作都需要获得 root 权限,所以我在运行第三部分程序时从不输入 root 密码,这足以让我避免逃逸漏洞?
答案1
简而言之,无法保证虚拟机内的 root 访问权限。它使某些形式的恶意软件变得更加困难,但并非全部。
我的建议是假设所有不受信任的事情都是有罪的,直到被证明是无辜的。也就是说,假设所有不受信任的东西都肯定是恶意的,当你被证明是错误的时,你会感到高兴。
为此,我将尽可能多地查看有关如何分析已知恶意软件的建议。关于风险有一些好的建议。读过其中的一些内容后,我想说,普遍的共识似乎是是仍有风险。具体的攻击媒介是/已经是:
- 可以通过网络从一台机器跳到另一台机器的蠕虫。您的虚拟机很可能位于网络上,您的主机也是如此。请记住,您的 PC 通常位于防火墙(甚至只是家庭路由器)后面,这可以阻止大量攻击。运行虚拟机会将恶意软件置于防火墙内的网络上。
- 存在 CPU 计时漏洞。看崩溃和幽灵。即使不逃离虚拟机,也存在这样的风险类型的错误可能会泄露主机的秘密信息。
- 虚拟机工具。这些隐式设计的目的是让您的虚拟机能够访问主机上的功能,而漏洞利用可能会提供比预期更多的访问权限。你通常不会需要安装这些,但如果你这样做,它们可能容易受到攻击。
从您的问题和评论来看
但据我所知,大多数转义操作都需要获得root权限
“大多数”在安全方面并不是一个好词。
如果您不信任某个应用程序,请不要运行它。
但这就是现实生活,这并不总是一种选择。但这是一个合理的经验法则。如果您不是故意尝试分析恶意软件,请首先检查您安装的内容的来源。检查它是否来自有信誉的来源,并尽你所能检查有多少人正在使用它/在线谈论它。
进一步阅读的参考资料(请阅读此处的完整答案!)
https://security.stackexchange.com/a/3060/10066
虚拟机绝对可以交叉。通常,您将它们联网,因此任何具有网络组件的恶意软件(即蠕虫)都会传播到其寻址/路由允许的任何地方。常规病毒往往只在用户模式下运行,因此虽然它们无法公开通信,但它们仍然可以建立隐蔽通道。如果您共享 CPU,则一个虚拟机上的繁忙进程可以有效地将状态传达给另一台虚拟机(这是典型的定时隐蔽通道)。
https://security.stackexchange.com/a/3058/10066
尽管如此,还是相当不错的。您在现场遇到的大多数恶意软件可能都没有特殊的代码来逃离虚拟机。在虚拟机中运行恶意软件肯定比直接将其安装到日常工作计算机上安全得多!
https://security.stackexchange.com/a/23503/10066
我这些天看到的几个漏洞更多地基于“vmtools”部分。这是您安装的软件,旨在使来宾操作系统更高效地运行(对于 VMWare,这允许动态捕获光标,并在没有网络的情况下在来宾和主机之间进行共享)。这是一种特殊的软件感染途径;不安装工具,就没有漏洞。