Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette
machine j'ai une machine virtuelle W7 Pro avec les mêmes outils de
"sécurité" que n'importe quelle machine W7 de notre parc.
Ma VM peut se connecter à Internet et accéder à un dossier partagé sur
l'espace de stockage principal de la machine hôte. Je me dis qu'il doit
être possible d'utiliser une faille Microsoft pour attaquer la machine
hôte et lui faire bouffer une saloperie à l'insu de son plein gré.
Du coup je me demande s'il y a des précautions élémentaires que je
pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre une
telle attaque plus difficile.
Cette VM n'est activée que quand je ne peux pas faire autrement,
essentiellement pour tester des codes qui doivent aussi fonctionner sur
W7. Je la démarre aussi de temps en temps pour faire les mises à jour
rituelles.
Tout conseil bienveillant est le bienvenu.
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sergio
Le 02/12/2016 à 10:26, Jean-Baptiste Faure a écrit :
Bonjour, Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette machine j'ai une machine virtuelle W7 Pro avec les mêmes outils de "sécurité" que n'importe quelle machine W7 de notre parc. Ma VM peut se connecter à Internet et accéder à un dossier partagé sur l'espace de stockage principal de la machine hôte. Je me dis qu'il doit être possible d'utiliser une faille Microsoft pour attaquer la machine hôte et lui faire bouffer une saloperie à l'insu de son plein gré. Du coup je me demande s'il y a des précautions élémentaires que je pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre une telle attaque plus difficile. Cette VM n'est activée que quand je ne peux pas faire autrement, essentiellement pour tester des codes qui doivent aussi fonctionner sur W7. Je la démarre aussi de temps en temps pour faire les mises à jour rituelles. Tout conseil bienveillant est le bienvenu.
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce répertoire. À toi de ne pas y mettre de données sensibles... -- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Le 02/12/2016 à 10:26, Jean-Baptiste Faure a écrit :
Bonjour,
Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette machine j'ai une machine virtuelle W7 Pro avec les mêmes outils
de "sécurité" que n'importe quelle machine W7 de notre parc.
Ma VM peut se connecter à Internet et accéder à un dossier partagé sur l'espace de stockage principal de la machine hôte. Je me dis
qu'il doit être possible d'utiliser une faille Microsoft pour attaquer la machine hôte et lui faire bouffer une saloperie à l'insu
de son plein gré.
Du coup je me demande s'il y a des précautions élémentaires que je pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre
une telle attaque plus difficile.
Cette VM n'est activée que quand je ne peux pas faire autrement, essentiellement pour tester des codes qui doivent aussi fonctionner
sur W7. Je la démarre aussi de temps en temps pour faire les mises à jour rituelles.
Tout conseil bienveillant est le bienvenu.
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est
véroler ce répertoire. À toi de ne pas y mettre de données sensibles...
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Le 02/12/2016 à 10:26, Jean-Baptiste Faure a écrit :
Bonjour, Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette machine j'ai une machine virtuelle W7 Pro avec les mêmes outils de "sécurité" que n'importe quelle machine W7 de notre parc. Ma VM peut se connecter à Internet et accéder à un dossier partagé sur l'espace de stockage principal de la machine hôte. Je me dis qu'il doit être possible d'utiliser une faille Microsoft pour attaquer la machine hôte et lui faire bouffer une saloperie à l'insu de son plein gré. Du coup je me demande s'il y a des précautions élémentaires que je pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre une telle attaque plus difficile. Cette VM n'est activée que quand je ne peux pas faire autrement, essentiellement pour tester des codes qui doivent aussi fonctionner sur W7. Je la démarre aussi de temps en temps pour faire les mises à jour rituelles. Tout conseil bienveillant est le bienvenu.
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce répertoire. À toi de ne pas y mettre de données sensibles... -- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Nicolas George
Sergio , dans le message <58414092$0$718$, a écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce répertoire. À toi de ne pas y mettre de données sensibles...
Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se tenir à jour.
Sergio , dans le message <58414092$0$718$426a74cc@news.free.fr>, a
écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé
sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce
répertoire. À toi de ne pas y mettre de données sensibles...
Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de
l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se
tenir à jour.
Sergio , dans le message <58414092$0$718$, a écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce répertoire. À toi de ne pas y mettre de données sensibles...
Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se tenir à jour.
Eric Masson
Sergio writes: 'Lut,
A priori, seule la VM est attaquable.
Non, il existe une classe d'attaques de type "virtual machine escape" dont le but est d'interagir avec l'hôte de la VM, quelques exemples ayant fait de rapport CVE dans la page wikipedia sur le sujet : https://en.wikipedia.org/wiki/Virtual_machine_escape Rien ne dit que d'autres vulnérabilités non publiées ne sont pas déjà exploitées... -- que fait le webmaster du ng ? ils ne sont que 7 ou 8 à nous manger sur le dos et dans 5 ans ils seront maxi 3 ....alors payer maintenant en vous en sortant le mieux possible pour plus tard......... -+- MH in GNU : Webmasters de tous les newsgroups, unissez-vous -+-
Non, il existe une classe d'attaques de type "virtual machine escape"
dont le but est d'interagir avec l'hôte de la VM, quelques exemples
ayant fait de rapport CVE dans la page wikipedia sur le sujet :
https://en.wikipedia.org/wiki/Virtual_machine_escape
Rien ne dit que d'autres vulnérabilités non publiées ne sont pas déjà
exploitées...
--
que fait le webmaster du ng ? ils ne sont que 7 ou 8 à nous manger sur
le dos et dans 5 ans ils seront maxi 3 ....alors payer maintenant en
vous en sortant le mieux possible pour plus tard.........
-+- MH in GNU : Webmasters de tous les newsgroups, unissez-vous -+-
Non, il existe une classe d'attaques de type "virtual machine escape" dont le but est d'interagir avec l'hôte de la VM, quelques exemples ayant fait de rapport CVE dans la page wikipedia sur le sujet : https://en.wikipedia.org/wiki/Virtual_machine_escape Rien ne dit que d'autres vulnérabilités non publiées ne sont pas déjà exploitées... -- que fait le webmaster du ng ? ils ne sont que 7 ou 8 à nous manger sur le dos et dans 5 ans ils seront maxi 3 ....alors payer maintenant en vous en sortant le mieux possible pour plus tard......... -+- MH in GNU : Webmasters de tous les newsgroups, unissez-vous -+-
Jean-Baptiste Faure
Le 02/12/2016 à 13:13, Nicolas George a écrit :
Sergio , dans le message <58414092$0$718$, a écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce répertoire. À toi de ne pas y mettre de données sensibles...
Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se tenir à jour.
Merci pour les réponses. Si je me base sur le lien donné par Éric, c'est surtout mon VirtualBox qu'il faut tenir à jour pour ne pas faciliter une attaque de type "virtual machine escape". Bon WE. JBF -- Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Le 02/12/2016 à 13:13, Nicolas George a écrit :
Sergio , dans le message <58414092$0$718$426a74cc@news.free.fr>, a
écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé
sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce
répertoire. À toi de ne pas y mettre de données sensibles...
Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de
l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se
tenir à jour.
Merci pour les réponses.
Si je me base sur le lien donné par Éric, c'est surtout mon VirtualBox
qu'il faut tenir à jour pour ne pas faciliter une attaque de type
"virtual machine escape".
Bon WE.
JBF
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Sergio , dans le message <58414092$0$718$, a écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce répertoire. À toi de ne pas y mettre de données sensibles...
Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se tenir à jour.
Merci pour les réponses. Si je me base sur le lien donné par Éric, c'est surtout mon VirtualBox qu'il faut tenir à jour pour ne pas faciliter une attaque de type "virtual machine escape". Bon WE. JBF -- Seuls des formats ouverts peuvent assurer la pérennité de vos documents
