Si j'exécute une machine virtuelle Windows 7 sur un hôte Windows 7 à l'aide de l'option VMWare ou VirtualBox (ou n'importe quoi d'autre) et que la machine virtuelle est complètement surchargée de virus et autres logiciels malveillants, dois-je m'inquiéter pour ma machine hôte ?
Si j'ai un programme anti-virus sur la machine hôte, détectera-t-il des problèmes ?
Ce que toutes les réponses ont manqué jusqu'à présent, c'est qu'il y a plus de vecteurs d'attaque que les simples connexions réseau et le partage de fichiers, mais avec toutes les autres parties d'une machine virtuelle - surtout en ce qui concerne la virtualisation du matériel. Un bon exemple de ceci est montré ci-dessous (réf. 2) où un OS invité peut sortir du conteneur VMware en utilisant le port COM virtuel émulé.
Un autre vecteur d'attaque, couramment inclus et parfois activé par défaut, sur presque tous les processeurs modernes, est le suivant virtualisation x86 . Bien que l'on puisse affirmer que l'activation de la mise en réseau d'une VM constitue le plus grand risque pour la sécurité (et c'est effectivement un risque qui doit être pris en compte), cela ne fait qu'empêcher la transmission des virus de la manière dont ils sont transmis sur tous les autres ordinateurs, c'est-à-dire par le biais d'un réseau. C'est à cela que servent les logiciels antivirus et les pare-feu. Ceci étant dit...
Il y a eu des épidémies de virus qui peuvent réellement "s'échapper" des machines virtuelles, ce qui a ont été documentées dans le passé (voir les références 1 et 2 ci-dessous pour des détails/exemples). Bien qu'une solution discutable soit de désactiver la virtualisation x86 (et d'accepter la baisse de performance en exécutant la machine virtuelle), tout logiciel antivirus moderne (décent) devrait être en mesure de vous protéger contre ces virus dans une limite raisonnable. Même DEP assurera une certaine protection, mais rien de plus que lorsque le virus est exécuté sur votre système d'exploitation réel (et non dans une VM). Encore une fois, si l'on se réfère aux références ci-dessous, il existe de nombreuses autres façons pour les logiciels malveillants de s'introduire dans une machine virtuelle, en dehors des adaptateurs réseau ou de la virtualisation/translation des instructions (par exemple, les ports COM virtuels ou d'autres pilotes matériels émulés).
Plus récemment encore, l'ajout de Virtualisation de la MMU d'E/S à la plupart des nouveaux processeurs, ce qui permet DMA . Il n'est pas nécessaire d'être informaticien pour voir le risque qu'il y a à permettre à une machine virtuelle dotée d'un virus d'accéder directement à la mémoire et au matériel, en plus de pouvoir exécuter du code directement sur le CPU.
Je présente cette réponse simplement parce que toutes les autres vous incitent à croire que vous devez simplement vous protéger de fichiers Mais permettre à un virus de s'exécuter directement sur votre processeur est un risque bien plus grand à mon avis. Certaines cartes mères désactivent ces fonctions par défaut, mais d'autres ne le font pas. La meilleure façon d'atténuer ces risques est de désactiver la virtualisation, sauf si vous en avez réellement besoin. Si vous n'êtes pas sûr d'en avoir besoin ou non, le désactiver .
S'il est vrai que certains virus peuvent cibler les vulnérabilités du logiciel de votre machine virtuelle, la gravité de ces menaces est considérablement accrue lorsque vous prenez en compte la virtualisation du processeur ou du matériel, en particulier ceux qui nécessitent une émulation supplémentaire côté hôte.
Comment récupérer les instructions x86 virtualisées par Themida (Zhenxiang Jim Wang, Microsoft)
Sortir de VMware Workstation par COM1 (Kostya Kortchinsky, équipe de sécurité de Google)
Si vous utilisez des dossiers partagés ou si vous avez une quelconque interaction réseau entre la machine virtuelle et l'hôte, vous avez de quoi vous inquiéter. Par potentiellement, je veux dire que cela dépend de ce que le code malveillant fait réellement.
Si vous n'utilisez pas de dossiers partagés et que vous n'avez pas activé de réseau, tout devrait bien se passer.
L'antivirus de votre ordinateur hôte n'effectuera aucun type d'analyse au sein de votre VM, à moins que vous n'ayez partagé des éléments.
Si la VM est infectée par un virus qui vise à exploiter le logiciel de la VM comme VMWare Tools, elle pourrait éventuellement sortir, mais je ne pense pas que quoi que ce soit soit capable de le faire pour le moment. Il pourrait également exploiter l'hôte sur le réseau si l'hôte est vulnérable.
L'antivirus du système hôte ne devrait pas voir de virus dans la VM, sauf s'ils se trouvent dans un dossier partagé.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
