如何尽可能防止虚拟机逃逸?

2022-03-05 13:39:19 +08:00
 rv54ntjwfm3ug8
这几年出现了不少虚拟机逃逸的漏洞,有的是利用虚拟机通信和宿主机间通讯工具的漏洞,有的是利用内网
想问问如果 VMware Workstation 的虚拟机配置 vmx 禁用 back door ,用 host-only 的内网通过另一台虚拟机和主机中转文件,主机 Windows Firewall 禁止所有入站流量,能有效降低虚拟机逃逸的可能吗?
4097 次点击
所在节点    信息安全
8 条回复
documentzhangx66
2022-03-05 13:51:52 +08:00
漏洞是防不了的,只能等补丁来修复。
codehz
2022-03-05 16:06:05 +08:00
关闭硬件加速(
有可能的话用不同架构的硬件
disk
2022-03-05 16:36:35 +08:00
减少攻击面,增加隔离吧。严防死守终有漏网之鱼,做好风险控制。
0o0O0o0O0o
2022-03-05 16:45:44 +08:00
积极关注,及时更新,host 和 guest 都使用最少的软硬件,不直通,不共享,不装各类 vm tools ,并且 host 也视作不安全,不放个人文件,摄像头麦克风蓝牙无线 NFC 都拆了,用路由器限制 host 的流量和对内网的访问,并且在路由器配置白名单的、匿名的、可靠的透明代理,在此基础上再考虑不同虚拟机套个娃?
opengps
2022-03-06 10:54:36 +08:00
漏洞是不可避免的,很多小问题本身不算问题,但组合后却是个巨大的漏洞
mikywei
2022-03-06 12:44:15 +08:00
不想打补丁的话,最好是做好虚拟机安全和虚拟化系统的安全访问了(逃逸的前提是你先登录了我的虚拟机才能去执行逃逸漏洞利用操作),安装 EDR 之类的杀毒软件我感觉效率太低了,拼命优化服务器和应用代码性能结果被 EDR 占用了 20%来扫描检测病毒和攻击,想想就觉得可惜。
还有一种就是搞嵌入虚拟化系统的虚拟化防火墙,不过这种要改变虚拟化系统的网络架构加虚拟交换机之类的,变动也很大。
wangkai0351
2022-03-19 18:55:16 +08:00
只要允许攻击者在虚拟机 OS 里执行命令 /程序就有可能导致虚拟机逃逸,backdoor 只是一个攻击面,更大的攻击面在于 hypervisor 进程中虚拟出的众多“软”外设,比如 2020 年天府杯的选手是从 vmware 的 USB 主机控制器接口这个软外设完成逃逸的。
wildlynx
2022-08-16 09:27:03 +08:00
host 使用 64 位的 FreeBSD ,guest 使用 32 位的 windows ,会不会降低逃逸风险?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/838171

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX