Quanto è probabile che un virus si diffonda da una VM Linux all'host di Windows

La virtualizzazione è progettata per proteggere il sistema operativo host (nel tuo caso Windows) dal sistema operativo guest (Linux). È improbabile che un virus o un malware in esecuzione su un guest si diffonda direttamente all'host attraverso il livello di virtualizzazione. Il malware dovrebbe essere progettato in modo specifico per raggiungere il livello di virtualizzazione e in qualche modo uscire dalla VM. Non direi mai che fosse impossibile, ma sembra un obiettivo improbabile data la complessità di questo.

Più possibile è il malware che utilizza la macchina guest come base operativa per lanciare attacchi su qualsiasi cosa all'interno della rete.

A seconda della configurazione tra l'host e il guest virtuale ci sono alcuni modi in cui un worm o un virus possono propagarsi.

1) Semplice rete. - Se l'adattatore di rete è abilitato sul virtuale e l'host può interagire con esso, allora sì. Un pezzo di malware che era multi-OS potrebbe propagarsi. In alternativa, se il codice dannoso è stato scritto in un motore multipiattaforma come Java, ed esegui Java sia sul guest che sull'host. Ciò potrebbe essere dall'impostazione della rete ospite all'host solo o all'hosting della rete. Tecnicamente possibile con qualsiasi rete abilitata, ma più probabilmente con questi due. Nat e Bridged formano la connessione alla scheda NIC dell'host in modo diverso.

2) Condivisione abilitata. - Avere i file host o gli appunti anche essere scrivibili per l'ospite può consentire una tattica di fuga o di evasione. Le cartelle condivise di VMWare hanno pubblicato almeno un CVE per sfuggire al guest tramite la funzione di cartelle condivise. 2008-0923 quando l'ho cercato, ma potrebbero essercene di più.

3) Basato su driver - Venom by crowdstrike ha mostrato come eseguire un'uscita virtuale in base al driver floppy attivato dall'ospite. Potrebbero esserci vulnerabilità simili per altri driver.

Modifica host hardware da wm

Per quanto ne so, ora non c'è modo di alterare un nodo hardware da un vw (contenitore).

Ma potrei sbagliarmi, a seconda di quale tecnologia di virtualizzazione viene utilizzata ...

Spy host hardware da vm

Sì, teoricamente:

Analizzando i carichi della CPU multi-core (o il tempo di inattività) e / o le variazioni di temperatura, un VM potrebbe spiare cosa sta succedendo nei compiti paralleli (vm o host) ...

• link
• link

Ma se il tuo Linux è stato correttamente aggiornato, con una password sicura, i criteri di sicurezza e aggiornato ...

Per quanto mi riguarda preferirò

per eseguire il nodo Linux on Hardware, (coreos o debian) e creare almeno due vm :

• Windows, utilizzando KVM
• Linux, usando LXC

Più facile da gestire, scalare e eseguire il backup, ma questa è solo la mia opinione.

Ma questo non cambierà i rischi di parallelizzazione teorici sulle CPU multi-core.

È possibile? Sì. Uno dei primo Worms (un malware autoreplicante) è stato progettato per funzionare con il sistema Unix. E mentre il malware di Windows è certamente più diffuso, ci sono anche cattivi che si rivolgono a Linux. Ricorda che non appena un pezzo di malware è presente nel tuo sistema, può scaricare ed eseguire codice arbitrario. Quindi un virus Linux potrebbe certamente scaricare un virus Windows ed eseguirlo su un'altra macchina (che sia la VM host o una macchina remota).

Come potrebbe essere fatto? Un tale attacco (dalla VM alla macchina host) si baserebbe su una vulnerabilità nel livello di virtualizzazione. Tali vulnerabilità sono state viste; questo CVE documenta tale caso.