解讀“虛擬機逃逸”的問(wèn)題分析與防范

在理想的世界中，一個(gè)程序運行在里，他應該無(wú)法影響其他虛擬機。不幸的是，由于技術(shù)的限制和虛擬化軟件的一些bug，這種理想世界并不存在。在某些情況下，在虛擬機里運行的程序會(huì )繞過(guò)底層，從而利用宿，這種技術(shù)叫做虛擬機逃逸技術(shù)。
本文將首先對虛擬化技術(shù)進(jìn)行簡(jiǎn)單介紹，然后分析虛擬化技術(shù)引入的安全風(fēng)險，并重點(diǎn)分析其中的虛擬機逃逸風(fēng)險，最后針對虛擬機逃逸攻擊給出對應的防范措施。
一、什么是虛擬機逃逸？
虛擬機逃逸指的是突破虛擬機的限制，實(shí)現與宿主機操作系統交互的一個(gè)過(guò)程，攻擊者可以通過(guò)虛擬機逃逸感染宿主機或者在宿主機上運行惡意軟件。
早在2016年舉辦的PwnFest黑客大會(huì )上（由Power of Community組織，在韓國首爾舉辦），研究人員唐青昊成功實(shí)現了VMware的虛擬機逃逸，這也是VMware首次在公開(kāi)場(chǎng)合被攻陷，震驚世人。然后再2018年，長(cháng)亭科技安全研究員張焱宇利用VMware虛擬化平臺的3個(gè)漏洞，從一臺Linux虛擬機內部進(jìn)行攻擊，僅用9分鐘便成功獲取ESXi宿主機系統的最高權限并進(jìn)行任意控制，展示了系統所存在的安全問(wèn)題，成功挑戰世界級難度虛擬機逃逸。
虛擬化在許多公司里相當流行，因為在服務(wù)器整合和功耗方面，它們具有很大的優(yōu)勢。但漏洞利用工具的數量也正在日益高漲，每一個(gè)月都會(huì )增加不少。
二、虛擬機逃逸風(fēng)險
虛擬化技術(shù)在設計或實(shí)現中不可避免地會(huì )引入一些漏洞，虛擬機里運行的程序可以通過(guò)漏洞利用，突破禁錮，掌控VMM和宿主機，實(shí)現虛擬機逃逸。虛擬機逃逸攻擊打破了權限與數據隔離的邊界，讓攻擊者不但能掌控Host，還能控制Host上所有的VM，并以此為跳板，攻擊其他Host以及Host上的VM，因此，不得不說(shuō)，虛擬機逃逸已成為時(shí)代令人聞風(fēng)喪膽的重大安全威脅。
在過(guò)去的十年里，所有主流的虛擬化軟件，都曾爆出過(guò)虛擬化逃逸相關(guān)的漏洞。
三、 虛擬機逃逸攻擊的防范
面對如此多的虛擬機逃逸事件，以及虛擬機逃逸攻擊可能帶來(lái)的巨大危害，防范虛擬機逃逸也就成為一個(gè)必須解決的問(wèn)題，通過(guò)總結業(yè)界在防范方面經(jīng)驗，可以考慮的思路如下。
1. 及時(shí)更新漏洞補丁，消滅已知漏洞
2.  通過(guò)緩解措施，提升逃逸難度
3.  利用沙箱機制，實(shí)施多級防護
4.  通過(guò)用戶(hù)行為分析，攔截未知威脅
綜上所述，隨著(zhù)業(yè)界對虛擬機逃逸風(fēng)險越來(lái)越重視，基于軟件和硬件相結合的緩解措施，層層隔離的沙箱機制，以及基于機器學(xué)習的用戶(hù)行為分析等措施的不斷完善，虛擬機逃逸難度也將越來(lái)越難，虛擬化的環(huán)境也將越來(lái)越安全。