解讀“虛擬機(jī)逃逸”的問題分析與防范

在理想的世界中,一個程序運(yùn)行在虛擬機(jī)里,他應(yīng)該無法影響其他虛擬機(jī)。不幸的是,由于技術(shù)的限制和虛擬化軟件的一些bug,這種理想世界并不存在。在某些情況下,在虛擬機(jī)里運(yùn)行的程序會繞過底層,從而利用宿主機(jī),這種技術(shù)叫做虛擬機(jī)逃逸技術(shù)。
本文將首先對虛擬化技術(shù)進(jìn)行簡單介紹,然后分析虛擬化技術(shù)引入的安全風(fēng)險(xiǎn),并重點(diǎn)分析其中的虛擬機(jī)逃逸風(fēng)險(xiǎn),最后針對虛擬機(jī)逃逸攻擊給出對應(yīng)的防范措施。
一、什么是虛擬機(jī)逃逸?
虛擬機(jī)逃逸指的是突破虛擬機(jī)的限制,實(shí)現(xiàn)與宿主機(jī)操作系統(tǒng)交互的一個過程,攻擊者可以通過虛擬機(jī)逃逸感染宿主機(jī)或者在宿主機(jī)上運(yùn)行惡意軟件。
早在2016年舉辦的PwnFest黑客大會上(由Power of Community組織,在韓國首爾舉辦),研究人員唐青昊成功實(shí)現(xiàn)了VMware的虛擬機(jī)逃逸,這也是VMware首次在公開場合被攻陷,震驚世人。然后再2018年,長亭科技安全研究員張焱宇利用VMware虛擬化平臺的3個漏洞,從一臺Linux虛擬機(jī)內(nèi)部進(jìn)行攻擊,僅用9分鐘便成功獲取ESXi宿主機(jī)系統(tǒng)的高權(quán)限并進(jìn)行任意控制,展示了私有云系統(tǒng)所存在的安全問題,成功挑戰(zhàn)世界級難度虛擬機(jī)逃逸。
虛擬化在許多公司里相當(dāng)流行,因?yàn)樵诜?wù)器整合和功耗方面,它們具有很大的優(yōu)勢。但漏洞利用工具的數(shù)量也正在日益高漲,每一個月都會增加不少。
二、虛擬機(jī)逃逸風(fēng)險(xiǎn)
虛擬化技術(shù)在設(shè)計(jì)或?qū)崿F(xiàn)中不可避免地會引入一些漏洞,虛擬機(jī)里運(yùn)行的程序可以通過漏洞利用,突破禁錮,掌控VMM和宿主機(jī),實(shí)現(xiàn)虛擬機(jī)逃逸。虛擬機(jī)逃逸攻擊打破了權(quán)限與數(shù)據(jù)隔離的邊界,讓攻擊者不但能掌控Host,還能控制Host上所有的VM,并以此為跳板,攻擊其他Host以及Host上的VM,因此,不得不說,虛擬機(jī)逃逸已成為云計(jì)算時(shí)代令人聞風(fēng)喪膽的重大安全威脅。
在過去的十年里,所有主流的虛擬化軟件,都曾爆出過虛擬化逃逸相關(guān)的漏洞。
三、 虛擬機(jī)逃逸攻擊的防范
面對如此多的虛擬機(jī)逃逸事件,以及虛擬機(jī)逃逸攻擊可能帶來的巨大危害,防范虛擬機(jī)逃逸也就成為一個必須解決的問題,通過總結(jié)業(yè)界在防范方面經(jīng)驗(yàn),可以考慮的思路如下。
1. 及時(shí)更新漏洞補(bǔ)丁,消滅已知漏洞
2. 通過緩解措施,提升逃逸難度
3. 利用沙箱機(jī)制,實(shí)施多級防護(hù)
4. 通過用戶行為分析,攔截未知威脅
綜上所述,隨著業(yè)界對虛擬機(jī)逃逸風(fēng)險(xiǎn)越來越重視,基于軟件和硬件相結(jié)合的緩解措施,層層隔離的沙箱機(jī)制,以及基于機(jī)器學(xué)習(xí)的用戶行為分析等措施的不斷完善,虛擬機(jī)逃逸難度也將越來越難,虛擬化的環(huán)境也將越來越安全。

本文題目:解讀“虛擬機(jī)逃逸”的問題分析與防范
文章起源:http://muchs.cn/article10/soiddo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站手機(jī)網(wǎng)站建設(shè)、網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)公司營銷型網(wǎng)站建設(shè)、微信公眾號

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)