rinzey
Goto Top

Virtuelle Maschine und Exploits

Hallo Liebe Community,

Gibt es hier Fälle bei denen schonmal Maleware von der Virtuellen Maschine ausgebrochen ist und auf die Hauptmaschine übergesprungen ist? Zum Beispiel in Form von Dateien die man aus der Virtuellen Maschine auf die Hauptmaschine gezogen hat und sich die entsprechende Maleware sich ausgebreitet hat? Oder in Form von Sicherheitslücken des VLANs durch Java-Script Maleware oder ähnliches? Was wäre eine geeignete Konfiguration des VLANs / Virtuellen Maschine die man vornehmen kann um sich dagegen zu schützen? Welche Maßnahmen müssen in der Hauptmaschine vorgenommen werden damit man sich dagegen schützen kann? Wie sieht das mit der Trennung von VLAN und Zugriffsbeschränkung mit ACLs (IN & OUT) aus? Bin sehr neu in dem Thema, mache das Freizeitmäßig und möchte mich ausreichend Informieren und ggf auch den Leuten die es interessiert helfen sich dagegen zu schützen. Vielleicht wissen die Experten in dem Forum Bescheid und könnten helfen. Vielen Dank!

Liebe Grüße

Content-Key: 2370185317

Url: https://administrator.de/contentid/2370185317

Printed on: April 22, 2024 at 17:04 o'clock

Member: NordicMike
NordicMike Apr 01, 2022 at 11:05:12 (UTC)
Goto Top
Eine VM ist genau so zu behandeln, wie ein normaler PC. Also seine Firewall (und die des Hypervisors auch) soweit einstellen, dass sich nichts über SMB oder andere Protokolle ausbreiten kann.

Wenn du dieser VM nur ein VLAN (untagged) gibst, kann sie auch nicht in andere VLANs rüber schnüffeln.
Member: NetzwerkDude
NetzwerkDude Apr 01, 2022 at 11:07:09 (UTC)
Goto Top
Sowas passiert ständig, z.B.
https://www.tenable.com/blog/vmware-issues-security-advisory-for-guest-t ...
(extra ein älteres beispiel, weil da ggf. exploits gibt zum testen *hust)

Was dagegen tun? gescheite software einsetzen face-smile
Member: Rinzey
Rinzey Apr 01, 2022 at 11:27:16 (UTC)
Goto Top
Zitat von @NordicMike:

Eine VM ist genau so zu behandeln, wie ein normaler PC. Also seine Firewall (und die des Hypervisors auch) soweit einstellen, dass sich nichts über SMB oder andere Protokolle ausbreiten kann.

Wenn du dieser VM nur ein VLAN (untagged) gibst, kann sie auch nicht in andere VLANs rüber schnüffeln.

Danke für deine Antwort!

Habe in der VM nur eine laufende Internet Verbindung um auf Explorer zugreifen zu können, alles andere ist nicht mit der VM verbunden. Besteht dann trotzdem die Möglichkeit, das mich auf ein Linux Betriebssystem eine Maleware es nach draußen schafft um die Hauptmaschine anzugreifen ohne das ich eine Maleware Datei rüber ziehe

LG
Member: Rinzey
Rinzey Apr 01, 2022 at 11:28:04 (UTC)
Goto Top
Zitat von @NetzwerkDude:

Sowas passiert ständig, z.B.
https://www.tenable.com/blog/vmware-issues-security-advisory-for-guest-t ...
(extra ein älteres beispiel, weil da ggf. exploits gibt zum testen *hust)

Was dagegen tun? gescheite software einsetzen face-smile

Danke für deine Antwort!

Ich werde mich da mal durchschauen, danke!

LG
Member: kgborn
kgborn Apr 01, 2022 at 12:40:56 (UTC)
Goto Top
Zitat von @Rinzey:
Besteht dann trotzdem die Möglichkeit, das mich auf ein Linux Betriebssystem eine Maleware es nach draußen schafft um die Hauptmaschine anzugreifen ohne das ich eine Maleware Datei rüber ziehe

Wenn wir als der Malewar mal Malware oder Schadprogramme machen -> klare Antwort ja. Immer wieder wurde in der Vergangenheit die eine oder andere Schwachstelle aufgedeckt, die es einem Gast ermöglicht, über den Hypervisor auf den Host zuzugreifen. Wäre noch das Problem Gast Windows, Host Linux oder umgekehrt. Da es aber inzwischen Malware gibt, die beide Plattformen angreift, stellt das auch keine Hürde mehr dar.
Member: it-fraggle
it-fraggle Apr 02, 2022 updated at 07:42:33 (UTC)
Goto Top
Das ist prinzipiell immer möglich. Meist sind es Fehler in der Virtualisieren/Isolierung, die einen Ausbruch ermöglichen. Du musst dir immer im Klaren sein, dass es ein und die selbe Hardware ist und nur logisch getrennt wird. Zur Absicherung kann ich dazu raten grundsätzlich die üblichen Härtungsmaßnahmen (Empfehlungen BSI und CIS) durchzuführen und den Benutzerkreis soweit einzuschränken wie es möglich ist. Der Wirt selbst ist grünsätzlich NIE über das Internet erreichbar und hat im besten Fall sogar eine eigene ded. Netzwerkschnittstelle nur für sich, die mit einem gesicherten Netzwerk verbunden ist. Wenn du auch darauf verzichten kannst, dann tu das. Natürlich läuft nur so viel Software drauf wie unbedingt nötig ist. Tools oder sogar Entwicklungsumgebungen sollten nicht installiert sein. Weniger ist mehr! Ansonsten wie immer alles aktuell halten, Ports dicht machen und wenn du kannst, dann Software auf einem Gateway zur Erkennung von unüblichen Aktivitäten einsetzen.

Lass dich nie dazu verleiten zu glaube, dass Gäste (VMs) nicht ausbrechen können und auf den Wirt kommen. Leider gibt es immer wieder den ein oder anderen Hans, der dir das erzählen wird und mit fadenscheinigen (zunächst logisch klingenden) Argumenten um die Ecke kommt.