Il file .ova può contenere un exploit?

8

È possibile preparare un file .ova per Oracle Virtualbox che accederà alla rete NAT quando è impostato per utilizzare Whonix? Esistono macchine virtuali preconfigurate come Windows da utilizzare a Whonix, ma sono sicure da importare?

Mi chiedo perché c'è un progetto sospetto pubblicato da qualcuno nella comunità di Tor (se qualcuno è interessato posso inviare un link per scaricarlo). Anche le aggiunte guest vengono utilizzate da questa macchina virtuale.

    
posta curiosity4 14.12.2017 - 19:35
fonte

3 risposte

22

Indipendentemente dal fatto che contenga o meno un exploit , è irrilevante nella più ampia domanda se un file OVA possa essere maligno . La risposta alla domanda più ampia è sì, assolutamente.

La specifica Open Virtualization Format ti dà un'idea di alcuni dei potenziali vettori, ma l'ovvio è che potrebbe mappare l'intero disco del sistema operativo alla VM e poi, all'avvio della VM, eseguire il codice che lo espelle tramite la rete o modifica i file sul disco per elevare i privilegi o far cadere il malware (non Deve rispettare i controlli di sicurezza del tuo sistema operativo in merito all'accesso al filesystem a quel punto). La VM può anche mappare dispositivi USB arbitrari alla VM (incluse le chiavette USB inserite) e usarli come preferisce.

Se vogliamo entrare in meccanismi di attacco più complessi, la VM potrebbe utilizzare vulnerabilità della piattaforma nella CPU, PCH o memoria (ad esempio recenti bug vPro / AMT o rowhammer) per uscire efficacemente dall'ambiente della VM ed eseguire codice arbitrario su l'host.

Non devi assolutamente eseguire macchine virtuali OVF non fidate.

    
risposta data 14.12.2017 - 21:05
fonte
16

Qualsiasi file può contenere un exploit.

Se funziona o no, o se richiede un caricatore, è un'altra storia.

Ad esempio, se esiste una vulnerabilità di overflow del buffer nell'elaborazione dei file .ova , allora sì, potrebbe contenere una vulnerabilità sfruttabile .

Tutto dipende dalla presenza o meno di un'applicazione vulnerabile che elabora il file che contiene un exploit.

    
risposta data 14.12.2017 - 19:43
fonte
3

Sì, qualsiasi SO guest come contenuto nei file OVA può contenere codice dannoso; anche semplici file di dati di una certa complessità possono effettivamente lanciare exploit.

Pertanto, il sapore di Whonix che stai cercando è quello che funziona sotto l'hypervisor Qubes , come ogni L'aspetto di Qubes è progettato per prevenire gli attacchi di escalation dei privilegi all'interno delle VM guest. In effetti, i creatori presumono che il compromesso degli ospiti è probabile e che un sistema operativo ragionevolmente sicuro dovrebbe proteggere il resto del sistema in quel caso.

Nota il lungo elenco di vantaggi per la sicurezza elencati nel sito Web di Whonix.

Al contrario, VirtualBox è molto meno rigoroso Ambiente VM progettato principalmente per comodità dell'amministratore, come spiega il secondo punto al link.

Questo non significa affermare che Qubes è impermeabile in qualsiasi situazione, ma per la maggior parte degli scenari aumenta considerevolmente la barra. Poiché il tuo obiettivo sembra impedire al codice di intenti discutibili di fuggire o di trapelare in qualsiasi modo da un tunnel Tor, probabilmente è la tua opzione migliore.

Lo svantaggio principale di Qubes, oltre alla perdita dell'accesso alla GPU, è quanto pignolo sia sull'hardware. Ha bisogno di caratteristiche avanzate della CPU come IOMMU, SLAT, EPT e un BIOS che le configuri esattamente nel modo giusto. Il Qubes HCL esiste come guida hardware.

Conversione del file OVA da utilizzare come HVM di Qubes:

Per prima cosa, scarica OVA su AppVM, quindi:

tar xvf filename.ova
# ...produces a .vmdk disk image
qemu-img convert -f vmdk filename-disk1.vmdk -O raw filename.img
# ...produces a flat disk image

Successivamente, crea una HVM in Qubes (qui chiamato 'mynewHVM'), quindi in dom0:

qvm-run -p myappvm 'cat /home/user/filename.img' >filename.img
# ...transfer img from appVM to dom0
mv filename.img /var/lib/qubes/appvms/mynewHVM/root.img
# ...for Qubes 3.x

Da lì puoi accedere al pannello delle impostazioni della HVM e cambiare Network in sys-whonix .

Infine, se l'immagine del tuo disco contiene un sistema operativo Windows, consulta questi suggerimenti.

    
risposta data 14.12.2017 - 22:39
fonte

Leggi altre domande sui tag