VM Sicherheit

30/06/2015 - 11:15 von zyzeiaxusjhay | Report spam
Hallo,

beim Stöbern in alten Beitràgen bin ich auf die nicht nàher belegte These
gestoßen, daß eine VM, die innerhalb des Kernels des Hostbetriebsystems
làuft (VirtualBox), unsicherer ist als ein Benutzerprogramm auf dem
Hostbetriebssystem. Aus einer solchen VM wàre es leichter, das Hostsystem
zu übernehmen, als aus dem Benutzerkontext des Hostbetriebssystems.

Daß da eine theoretische Gefahr besteht, ist mir klar. Aber ist das
tatsàchlich leichter? Gibt es in der Realitàt nennenswert Fàlle, z.B.
wenn man suspekte Office-Dokumente öffnet oder mit dem Browser suspekte
Links anklickt und sich das Hostbetriebssystem kompromittiert? (Windows)

Nach meinen Beobachtungen kommt das nicht vor.

Bei der Gelegenheit: hat zufàllig jemand in seinem Archiv die Datei
"heap.zip", die vor ein paar Jahren von Hamid Ebadi erstellt wurde (oder
etwas vergleichbares) zur Demonstration, wie Scanner mit verschachtelten
Archiven aus dem Tritt zu bringen sind?

D.
 

Lesen sie die antworten

#1 Juergen P. Meier
30/06/2015 - 11:40 | Warnen spam
David H :
Hallo,

beim Stöbern in alten Beitràgen bin ich auf die nicht nàher belegte These
gestoßen, daß eine VM, die innerhalb des Kernels des Hostbetriebsystems
làuft (VirtualBox), unsicherer ist als ein Benutzerprogramm auf dem



Unsicherer gegenueber was genau?

Bei IT Sicherheit gibt es keine Absolutismen.

Hostbetriebssystem. Aus einer solchen VM wàre es leichter, das Hostsystem
zu übernehmen, als aus dem Benutzerkontext des Hostbetriebssystems.



Ah, also Sicherheit gegenueber Privilege-Elevation Angriffe.

Nein, aus einer VM ist es /nicht/ leichter ein Hostsystem anzugreifen,
als aus einer beliebigen Anwendung. Wenn du allerdings die Menge
moeglicher Anwendungsprogramme einschraenkst, dann aendert sich das
verhaeltnis natuerlich wieder, und wenn du die Anwendungen z.B. auf
Texteditoren einscharenkst, dann duerfte obige Aussage wahr werden.

Daß da eine theoretische Gefahr besteht, ist mir klar. Aber ist das
tatsàchlich leichter? Gibt es in der Realitàt nennenswert Fàlle, z.B.



Im Allgemeinen: Nein. Es gibt viel zu viele unsichere Programme die
Privileg-Erweiterungen ermoeglichen, dass solch eine Pauschalaussage
so pauschal schlicht falsch ist.

wenn man suspekte Office-Dokumente öffnet oder mit dem Browser suspekte
Links anklickt und sich das Hostbetriebssystem kompromittiert? (Windows)

Nach meinen Beobachtungen kommt das nicht vor.

Bei der Gelegenheit: hat zufàllig jemand in seinem Archiv die Datei
"heap.zip", die vor ein paar Jahren von Hamid Ebadi erstellt wurde (oder
etwas vergleichbares) zur Demonstration, wie Scanner mit verschachtelten
Archiven aus dem Tritt zu bringen sind?



Suchst du 42.zip? Ich hab ein 21.zip das von keiner AV-Signatur
erkannt wird (weil es ein halbes 42.zip ist), das aber immer noch ein
halbes Petabyte Zwischenspeicher benoetigt zum vollstaendigen Scannen.

guggst du http: <// entfernt wegen Opfern Dummer AV-Programme>
jors.net/jor/poc/21.zip

WARNUNG: nur wenige AV-scanner haben ueberhaupt eine wirksamen Schutz
vor Archiv-Bomben implementiert, die meisten haben einfach nur
Signaturen fuer die ueblichen PoC-Kandidaten (42.zip u.Ae.) gebaut.
Obiges einfach modifiziertes ZIP umgeht diese Signaturen natuerlich.
Bitte nicht auf Rechnern oder Infrastruktur dritter laden. Fuer
Schaeden ist jeder selbst verantwortlich.

Juergen

Ähnliche fragen