從虛擬機(jī)中逃逸，一直以來被看作類似于一種黑色操作。你不斷的能聽到研究人員們研究一些惡意軟件樣本的傳言，而這些惡意軟件可以從虛擬客戶機(jī)逃逸到主機(jī)里。與此同時(shí)，其他研究人員也在研究一些允許攻擊者從虛擬機(jī)中逃逸的漏洞。 

這些有形的攻擊威脅到了虛擬化項(xiàng)目的神圣性，而虛擬化在許多公司里相當(dāng)流行，因?yàn)樵诜?wù)器整合和功耗方面，它們具有很大的優(yōu)勢。但漏洞利用工具的數(shù)量也正在日益高漲，每一個(gè)月都會增加不少。

在2009年7月下旬的美國黑帽大會上，一些研究機(jī)構(gòu)對虛擬機(jī)的這一漏洞提出了最為清楚的闡釋。Immunity是一家安全評估和滲透測試的公司，它向外界提供了一個(gè)被稱為Cloudburst的工具軟件的詳細(xì)信息，該工具由高級安全研究員Kostya Kortchinsky開發(fā)。Cloudburst目前能提供給裝有Immunity的CANVAS測試工具的用戶使用，它利用的是VMware Workstation 6.5.1和更早期版本的顯示功能bug，而這一bug同樣出現(xiàn)在VMware Player、服務(wù)器、Fusion、ESXi和ESX [見CVE 2009-1244，以得到確切版本編號]。

Kortchinsky 在Cloudburst的開發(fā)中有一些創(chuàng)新的思維，他選擇利用的是虛擬機(jī)和一些設(shè)備的依賴關(guān)系(如視頻適配器、軟盤控制器、IDE控制器、鍵盤控制器和網(wǎng)絡(luò)適配器)，從而獲得對主機(jī)的訪問。在黑帽大會上，他向外界做了一次報(bào)告，解釋了他如何利用VMware模擬視頻設(shè)備的漏洞來進(jìn)行攻擊，他還演示了如何利用主機(jī)泄漏到客戶機(jī)的內(nèi)存，以及如何從客戶機(jī)向主機(jī)內(nèi)存中的任何位置寫入任意數(shù)據(jù)。

"視頻適配器處理最復(fù)雜的數(shù)據(jù)，"他說到。 "它有一個(gè)特別巨大的共享內(nèi)存。"

Kortchinsky說，相同的代碼模擬每個(gè)VMware產(chǎn)品上的設(shè)備。 "如果有一個(gè)漏洞存在，那么每一個(gè)VMware的產(chǎn)品上都存在該漏洞，而且通過I / O端口或內(nèi)存映射I / O端口可以從客戶機(jī)上對其進(jìn)行訪問"。 Immunity表示，Cloudburst具有可以破壞(corrupt)內(nèi)存的能力，這允許它以隧道方式在客戶機(jī)幀緩沖區(qū)(frame buffer)之上建立起與主機(jī)的MOSDEF連接，從而與主機(jī)進(jìn)行通信。MOSDEF是CANVAS工具集里的漏洞利用工具，它由Immunity公司創(chuàng)始人Dave Aitel開發(fā)。

在今年4月10日，VMware已經(jīng)修補(bǔ)了這些版本的漏洞。4天之后，Cloudburst發(fā)布，并被加入到CANVAS工具集中。而正是這一點(diǎn)使得Cloudburst與眾不同，它不再是一個(gè)漏洞驗(yàn)證性觸發(fā)代碼(proof of concept)，這和大多數(shù)虛擬機(jī)惡意軟件不同。

文章寫到這里，該安全問題技術(shù)部分的內(nèi)容已經(jīng)結(jié)束了，但作為一個(gè)具有購買權(quán)力和負(fù)責(zé)決策的安全經(jīng)理來說，它對于你意味著什么呢?在兩年前經(jīng)濟(jì)還沒有衰退的時(shí)候，這一問題給我們的啟示會更多，你會爭辯說企業(yè)的支出應(yīng)更多的考慮安全因素，而不是經(jīng)濟(jì)因素。因?yàn)榘踩珕栴}可能會影響企業(yè)的IT環(huán)境，而這種影響是可以切身感受到的。

虛擬化的威脅一直是抽象的，理論多于實(shí)踐。當(dāng)然，目前還存在著一些不易察覺的、虛擬的rootkit技術(shù)(如Blue Pill)，但這要求黑客具有對技術(shù)的理解天賦，而把一些非常復(fù)雜的東西作為攻擊的工具對黑客來說似乎是不可行的。專家同時(shí)警告說，虛擬環(huán)境里有形的威脅已經(jīng)出現(xiàn)，但對于這些理論性的東西，你仍然不可能制定企業(yè)自身戰(zhàn)略并購買相應(yīng)的虛擬化產(chǎn)品。你很可能需要做的就是，跟上虛擬化的趨勢，因?yàn)樗軒砗艽蟮暮锰?，讓用戶垂涎欲滴。而它的安全性問題將來也會隨之來臨。

不過，是在未來。

針對虛擬機(jī)的攻擊已從理論慢慢的變成現(xiàn)實(shí)。目前，已經(jīng)出現(xiàn)了關(guān)于虛擬機(jī)逃逸的五個(gè)CVE警報(bào)，在Kortchinsky、iDefense 公司的Greg McManus以及Core Security公司研究小組工作的基礎(chǔ)上，研究人員和其他的攻擊者會繼續(xù)對這一問題進(jìn)行分析、研究，因此以后出現(xiàn)更多安全漏洞幾乎是必然的事情。

專家說，網(wǎng)絡(luò)不應(yīng)該依賴傳統(tǒng)的安全措施，因?yàn)樗鼈儾荒艿钟總€(gè)虛擬機(jī)的威脅。到目前為止，大多數(shù)組織都在反應(yīng)有關(guān)虛擬環(huán)境的安全問題，以及不斷涌現(xiàn)的新攻擊、漏洞利用程序和漏洞驗(yàn)證性觸發(fā)代碼(proof of concept)。虛擬機(jī)的安全正處于風(fēng)口浪尖的境地。

兩年前，安全專家、現(xiàn)任思科云和虛擬化解決方案的總監(jiān)Chris Hoff曾說過："虛擬化的安全威脅和漏洞晦澀難懂，而企業(yè)管理層對這些安全問題表現(xiàn)消極，他們認(rèn)為在部署虛擬化技術(shù)的時(shí)候，安全問題不是考慮的重點(diǎn)。所以，即使嘗試通過建立商業(yè)案例來考慮針對安全虛擬化環(huán)境的投資，這些努力也起不到多大的作用。"

隨著Cloudburst被看作最近一次針對虛擬機(jī)的攻擊，在這一背景下，Hoff以及其他致力于虛擬環(huán)境安全的專家的預(yù)言似乎得到了驗(yàn)證。

所以，也是在兩年前，Hoff寫了一篇關(guān)于某虛擬機(jī)漏洞的文章。在當(dāng)時(shí)，攻擊者利用該漏洞可以在VMware客戶端操作系統(tǒng)上運(yùn)行任意代碼。在那篇文章中，他的最后一句話是："這將是針對虛擬機(jī)的第一次攻擊，以后還會出現(xiàn)更多，這是可以肯定的... 在你必須去重新配置或?yàn)槟愕娜蛱摂M數(shù)據(jù)中心(server farms)打補(bǔ)丁之前...你可以開始用這樣的例子與管理層討論進(jìn)行冷靜、理性的討論..."  

【編輯推薦】

1. 虛擬機(jī)泛濫 系統(tǒng)安全怎么辦
2. 虛擬機(jī)會削弱安全性
3. Linux系統(tǒng)中的虛擬機(jī)可能會削弱安全性