不能忽視的虛擬化技術漏洞

惡意軟體從一台虛擬機器蔓延到另一台上。基於虛擬化技術的隱身工具逃過了監測。這些威脅看上去很讓人恐慌，但它們值得讓你整夜都難以入睡麼？

專家們表示：虛擬化技術仍舊處於部署的初級階段，所以大部分對虛擬化環境的安全威脅對於大多數企業來說要麼還是未來的事要麼就太理論化。幾乎還沒有已經被披露的虛擬化技術漏洞。但那不意味著你以後也不會失眠，安全專家說道。

「這(虛擬化技術)是乙個很大的結構改變，設計我們如何提供、部署、管理和保護資源。」優利(unisys)的安全改革主設計師 christofer hoff說，「虛擬化存在著乙個假設的風險。」虛擬機器漏洞的相對缺乏使得研究人員針對這項技術的大量工作將只能從零開始，hoff 表示，而且事實是大部分的部署通常都是在內部而並非面向外部的。「但是一旦你看到產品中出現部署，並且變得面向外部…將會產生漏洞。」當然目前也存在著一些確實的威脅，諸如乙個名為「rogue」的虛擬機器映象偶然地——或者說有敵意地——進入了作為產品的機器中，這就是乙個hoff首先發現的「漏洞」。

虛擬化技術可望在未來幾年中有乙個飛躍。據gartner的資料顯示，70%的大企業計畫在2023年前使用虛擬化技術以停用一些或者全部的特殊區域網絡。這僅僅這是開始，專家表示。微軟上個月為乙個存在於虛擬伺服器和虛擬pc軟體中的被稱為「elevation of privilege」的漏洞打上補丁。如果攻擊著想在客戶機作業系統上執行惡意**，則此漏洞能夠讓攻擊者在主機的作業系統上執行**。

微軟表示在推出新的基於虛擬化的軟體之前會設法捕捉到潛在的威脅。「此威脅確實存在並且我們正在認真地處理。」微軟的安全發展工程師brandon baker說道，「對於 windows server2008中的windows server虛擬化，我們對威脅模型的開發作了投資以考慮攻擊可能暴露自身的各種途徑，並且 [我們]正在確認我們的**可以對付這些假設的攻擊。」

「我們希望在這些漏洞被公開之前盡可能多的發現並處理它們。我們必須在虛擬化安全上做到未雨綢繆。」baker表示。虛擬化技術漏洞的發現非常複雜而且艱難，baker發現，而這項產業需要更好的工具來協助研究者。「作為一項產業，[我們需要]在開發新工具以及改進現有工具方面做得更多以更早地發現這些個種類的漏洞，因為最終還是有一些對此非常感興趣的人會找到系統的漏洞。」

漏洞並不是唯一能夠讓虛擬環境易於被攻擊的東西：一些虛擬化技術產品，其特徵本身就能用於發起乙個攻擊。例如，安全顧問和研究者 mark burnett說道，vmware的指令碼自動控制使用者程式設計介面中的乙個漏洞，能夠讓主機上的惡意指令碼執行程式並且危及到客戶機作業系統的安全。

還有，很多東西都歸結到你如何配置乙個虛擬機器。「配置每一樣東西都有一些不安全的方法。」matasano的安全主管thomas ptacek說。你必須非常小心地處理如何遷移到虛擬機器上，在何處儲存以及按你的需要進行分塊：「帶有客戶資訊和信用卡資料的高敏感度應用軟體不應該放在同時還要測試新軟體的虛擬機器上。」微軟公司的baker表示，在windows server虛擬化技術中任何可以危機到客戶-客戶隔離的特徵和漏洞「會被修正或者刪除」。

「作為乙個安全工程師，我最不想聽到的一件事就是『它是乙個特徵，不是漏洞』。」baker表示，「任何我們所空開的從主機到客戶機的剩餘通道，諸如 windows server虛擬化技術中的vmbus，都被作為潛在的攻擊對待並且經過了嚴格的分析和測試。」迄今為止，還沒有任何管理程式有重大漏洞或者受到攻擊的報道，blue lane technologies的產品實施高階副總裁allwyn sequeira表示。「我沒有聽說過任何乙個客戶告訴[我們]他被攻擊了的案例，」他說道，「就在最近，他們問我們是不是有對管理程式提供保護。」

眼下，正是暴風雨前的寧靜，專家認為。「從現在開始的五年裡，每一台機器都將運用到虛擬化技術，」matasano的ptacek認為。「它確實如此的重要，我們必須更認真地加以對待。」

不能忽視的虛擬化技術漏洞

不能忽視的Doctype

虛擬化技術

虛擬化技術

相關推薦