È una VM non sicura in un host sicuro vulnerabile a wannacry?

0

Assumi un host Windows ragionevolmente sicuro (aggiornamenti / patch di Windows più recenti, antivirus aziendale aggiornato).

Quanto è vulnerabile in questo contesto una VM con un sistema operativo Windows non aggiornato e un antivirus vecchio e non aggiornato? 1)

Quali fattori (se ce ne sono) influisce su questo? Accesso a Internet, impostazioni guest VM, ecc.

1) Diciamo che hai una vecchia VM su cui devi lavorare, per cui un aggiornamento avrebbe un costo significativo, o non sarebbe possibile (supporto di applicazioni legacy o semplicemente l'ambito VM è per testare un'applicazione in quell'ambiente specifico).

Apparentemente la mia domanda non è abbastanza chiara. Quindi fammi riformulare in questo modo: hai un sistema A che è sicuro da wannacry (cioè è patched e non può essere infettato, ha un antivirus aggiornato). Hai un sistema B, che, da solo, non è sicuro da wannacry (cioè non corretto, può essere infettato, vecchie definizioni antivirus). Se si esegue il sistema B come una VM all'interno del sistema A, B può ancora essere infettato o il fatto che venga eseguito come una VM all'interno di un sistema sicuro blocca il vettore di attacco? L'antivirus di A può impedire a wannacry di entrare in B?

    
posta bolov 19.05.2017 - 10:16
fonte

2 risposte

1

TL; DR - Tratta una VM come se fosse una macchina fisica come qualsiasi altra.

La presenza di patch di sicurezza su un host non impedirà la vulnerabilità della VM del client.

WannaCry ha 2 percorsi di infezione -

  • Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
  • Infection through SMB exploit when an unpatched computer is addressable from other infected machines

Source: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Quindi, in altre parole, la VM è vulnerabile SE un altro computer nel tuo ambiente viene colpito da WannaCry e la VM ha abilitato qualsiasi servizio SMB (e la maggior parte lo fa anche se è solo il file "admin" condivide come \machine\c$ ).

    
risposta data 23.05.2017 - 15:07
fonte
-2

La semplice risposta alla tua domanda è: "Una VM non sicura in un host sicuro è vulnerabile alla wannacry"

Tenere presente che una VM è un ambiente in modalità sandbox. Lo scopo della VM è di simulare il sistema per cui è stato progettato.

L'eventuale ambiguità nella tua domanda è "VM non sicura in un host sicuro". Senza dubbio la macchina virtuale in esecuzione su un host è ancora mappata logicamente come due dispositivi (VM e "host sicuro") nella rete. È possibile utilizzare qualsiasi scanner di rete per dimostrare questo risultato. Gli scanner avanzati possono eseguire il mapping della macchina virtuale su HOST ma sono comunque trattati come un hardware separato.

Non commettere errori su cosa sia esattamente WannaCry,

WannaCry is a ransomware, that encrypts file systems and propagates through network exploiting a RCE vulnerability. This is not the first appearance of wannaCry, we can confirm that this is a modified version of the previous W.Crypto ransomware by adding the leaked NSA Zero-day exploit for a worm-like characteristics.

Nel momento in cui il filesystem della VM viene crittografato dal RSA a 2048 bit di W.cry, il risultato è che WannaCry è riuscito, anche se la propagazione fallisce.

Poiché non hai menzionato più macchine virtuali e l'host che delimita la VM è sicuro, la propagazione non è probabile. Se ci fossero più VM vulnerabili in esecuzione nella stessa rete o macchina, è possibile testare l'effetto di propagazione di WannaCry.

"I fattori che influenzano" è una domanda davvero vaga. La nostra organizzazione ritiene che, sebbene wannaCry abbia una funzione simile a worm, è principalmente un Ransomware. Quindi richiede un po 'di ingegneria sociale per mettersi al primo posto. Come fare clic su un allegato di posta o su un collegamento a un sito Web, fare clic su "OK" per un'applicazione sconosciuta nel Controllo dell'account utente di Windows, ecc.

Dato che hai menzionato che il tuo ambiente è sicuro e solo la VM è vulnerabile, dovrai attivare WannaCry solo dalla VM per poterlo infettare attraverso uno dei precedenti.

Credo che questo risponda alla query, ma una domanda più accurata ci aiuterebbe a capire lo scenario.

    
risposta data 19.05.2017 - 12:34
fonte

Leggi altre domande sui tag