從虛擬機(jī)中逃逸，一直以來(lái)被看作類(lèi)似于一種黑色操作。你不斷的能聽(tīng)到研究人員們研究一些惡意軟件樣本的傳言，而這些惡意軟件可以從虛擬客戶機(jī)逃逸到主機(jī)里。與此同時(shí)，其他研究人員也在研究一些允許攻擊者從虛擬機(jī)中逃逸的漏洞。 

這些有形的攻擊威脅到了虛擬化項(xiàng)目的神圣性，而虛擬化在許多公司里相當(dāng)流行，因?yàn)樵诜?wù)器整合和功耗方面，它們具有很大的優(yōu)勢(shì)。但漏洞利用工具的數(shù)量也正在日益高漲，每一個(gè)月都會(huì)增加不少。

在2009年7月下旬的美國(guó)黑帽大會(huì)上，一些研究機(jī)構(gòu)對(duì)虛擬機(jī)的這一漏洞提出了最為清楚的闡釋。Immunity是一家安全評(píng)估和滲透測(cè)試的公司，它向外界提供了一個(gè)被稱(chēng)為Cloudburst的工具軟件的詳細(xì)信息，該工具由高級(jí)安全研究員Kostya Kortchinsky開(kāi)發(fā)。Cloudburst目前能提供給裝有Immunity的CANVAS測(cè)試工具的用戶使用，它利用的是VMware Workstation 6.5.1和更早期版本的顯示功能bug，而這一bug同樣出現(xiàn)在VMware Player、服務(wù)器、Fusion、ESXi和ESX [見(jiàn)CVE 2009-1244，以得到確切版本編號(hào)]。

Kortchinsky 在Cloudburst的開(kāi)發(fā)中有一些創(chuàng)新的思維，他選擇利用的是虛擬機(jī)和一些設(shè)備的依賴(lài)關(guān)系(如視頻適配器、軟盤(pán)控制器、IDE控制器、鍵盤(pán)控制器和網(wǎng)絡(luò)適配器)，從而獲得對(duì)主機(jī)的訪問(wèn)。在黑帽大會(huì)上，他向外界做了一次報(bào)告，解釋了他如何利用VMware模擬視頻設(shè)備的漏洞來(lái)進(jìn)行攻擊，他還演示了如何利用主機(jī)泄漏到客戶機(jī)的內(nèi)存，以及如何從客戶機(jī)向主機(jī)內(nèi)存中的任何位置寫(xiě)入任意數(shù)據(jù)。

"視頻適配器處理最復(fù)雜的數(shù)據(jù)，"他說(shuō)到。 "它有一個(gè)特別巨大的共享內(nèi)存。"

Kortchinsky說(shuō)，相同的代碼模擬每個(gè)VMware產(chǎn)品上的設(shè)備。 "如果有一個(gè)漏洞存在，那么每一個(gè)VMware的產(chǎn)品上都存在該漏洞，而且通過(guò)I / O端口或內(nèi)存映射I / O端口可以從客戶機(jī)上對(duì)其進(jìn)行訪問(wèn)"。 Immunity表示，Cloudburst具有可以破壞(corrupt)內(nèi)存的能力，這允許它以隧道方式在客戶機(jī)幀緩沖區(qū)(frame buffer)之上建立起與主機(jī)的MOSDEF連接，從而與主機(jī)進(jìn)行通信。MOSDEF是CANVAS工具集里的漏洞利用工具，它由Immunity公司創(chuàng)始人Dave Aitel開(kāi)發(fā)。

在今年4月10日，VMware已經(jīng)修補(bǔ)了這些版本的漏洞。4天之后，Cloudburst發(fā)布，并被加入到CANVAS工具集中。而正是這一點(diǎn)使得Cloudburst與眾不同，它不再是一個(gè)漏洞驗(yàn)證性觸發(fā)代碼(proof of concept)，這和大多數(shù)虛擬機(jī)惡意軟件不同。

文章寫(xiě)到這里，該安全問(wèn)題技術(shù)部分的內(nèi)容已經(jīng)結(jié)束了，但作為一個(gè)具有購(gòu)買(mǎi)權(quán)力和負(fù)責(zé)決策的安全經(jīng)理來(lái)說(shuō)，它對(duì)于你意味著什么呢?在兩年前經(jīng)濟(jì)還沒(méi)有衰退的時(shí)候，這一問(wèn)題給我們的啟示會(huì)更多，你會(huì)爭(zhēng)辯說(shuō)企業(yè)的支出應(yīng)更多的考慮安全因素，而不是經(jīng)濟(jì)因素。因?yàn)榘踩珕?wèn)題可能會(huì)影響企業(yè)的IT環(huán)境，而這種影響是可以切身感受到的。

虛擬化的威脅一直是抽象的，理論多于實(shí)踐。當(dāng)然，目前還存在著一些不易察覺(jué)的、虛擬的rootkit技術(shù)(如Blue Pill)，但這要求黑客具有對(duì)技術(shù)的理解天賦，而把一些非常復(fù)雜的東西作為攻擊的工具對(duì)黑客來(lái)說(shuō)似乎是不可行的。專(zhuān)家同時(shí)警告說(shuō)，虛擬環(huán)境里有形的威脅已經(jīng)出現(xiàn)，但對(duì)于這些理論性的東西，你仍然不可能制定企業(yè)自身戰(zhàn)略并購(gòu)買(mǎi)相應(yīng)的虛擬化產(chǎn)品。你很可能需要做的就是，跟上虛擬化的趨勢(shì)，因?yàn)樗軒?lái)很大的好處，讓用戶垂涎欲滴。而它的安全性問(wèn)題將來(lái)也會(huì)隨之來(lái)臨。

不過(guò)，是在未來(lái)。

針對(duì)虛擬機(jī)的攻擊已從理論慢慢的變成現(xiàn)實(shí)。目前，已經(jīng)出現(xiàn)了關(guān)于虛擬機(jī)逃逸的五個(gè)CVE警報(bào)，在Kortchinsky、iDefense 公司的Greg McManus以及Core Security公司研究小組工作的基礎(chǔ)上，研究人員和其他的攻擊者會(huì)繼續(xù)對(duì)這一問(wèn)題進(jìn)行分析、研究，因此以后出現(xiàn)更多安全漏洞幾乎是必然的事情。

專(zhuān)家說(shuō)，網(wǎng)絡(luò)不應(yīng)該依賴(lài)傳統(tǒng)的安全措施，因?yàn)樗鼈儾荒艿钟總€(gè)虛擬機(jī)的威脅。到目前為止，大多數(shù)組織都在反應(yīng)有關(guān)虛擬環(huán)境的安全問(wèn)題，以及不斷涌現(xiàn)的新攻擊、漏洞利用程序和漏洞驗(yàn)證性觸發(fā)代碼(proof of concept)。虛擬機(jī)的安全正處于風(fēng)口浪尖的境地。

兩年前，安全專(zhuān)家、現(xiàn)任思科云和虛擬化解決方案的總監(jiān)Chris Hoff曾說(shuō)過(guò)："虛擬化的安全威脅和漏洞晦澀難懂，而企業(yè)管理層對(duì)這些安全問(wèn)題表現(xiàn)消極，他們認(rèn)為在部署虛擬化技術(shù)的時(shí)候，安全問(wèn)題不是考慮的重點(diǎn)。所以，即使嘗試通過(guò)建立商業(yè)案例來(lái)考慮針對(duì)安全虛擬化環(huán)境的投資，這些努力也起不到多大的作用。"

隨著Cloudburst被看作最近一次針對(duì)虛擬機(jī)的攻擊，在這一背景下，Hoff以及其他致力于虛擬環(huán)境安全的專(zhuān)家的預(yù)言似乎得到了驗(yàn)證。

所以，也是在兩年前，Hoff寫(xiě)了一篇關(guān)于某虛擬機(jī)漏洞的文章。在當(dāng)時(shí)，攻擊者利用該漏洞可以在VMware客戶端操作系統(tǒng)上運(yùn)行任意代碼。在那篇文章中，他的最后一句話是："這將是針對(duì)虛擬機(jī)的第一次攻擊，以后還會(huì)出現(xiàn)更多，這是可以肯定的... 在你必須去重新配置或?yàn)槟愕娜蛱摂M數(shù)據(jù)中心(server farms)打補(bǔ)丁之前...你可以開(kāi)始用這樣的例子與管理層討論進(jìn)行冷靜、理性的討論..."  

【編輯推薦】

1. 虛擬機(jī)泛濫 系統(tǒng)安全怎么辦
2. 虛擬機(jī)會(huì)削弱安全性
3. Linux系統(tǒng)中的虛擬機(jī)可能會(huì)削弱安全性