VM W7 et sécurité du système hôte
Le
Jean-Baptiste Faure

Bonjour,
Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette
machine j'ai une machine virtuelle W7 Pro avec les mêmes outils de
"sécurité" que n'importe quelle machine W7 de notre parc.
Ma VM peut se connecter à Internet et accéder à un dossier partagé sur
l'espace de stockage principal de la machine hôte. Je me dis qu'il doit
être possible d'utiliser une faille Microsoft pour attaquer la machine
hôte et lui faire bouffer une saloperie à l'insu de son plein gré.
Du coup je me demande s'il y a des précautions élémentaires que je
pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre une
telle attaque plus difficile.
Cette VM n'est activée que quand je ne peux pas faire autrement,
essentiellement pour tester des codes qui doivent aussi fonctionner sur
W7. Je la démarre aussi de temps en temps pour faire les mises à jour
rituelles.
Tout conseil bienveillant est le bienvenu.
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette
machine j'ai une machine virtuelle W7 Pro avec les mêmes outils de
"sécurité" que n'importe quelle machine W7 de notre parc.
Ma VM peut se connecter à Internet et accéder à un dossier partagé sur
l'espace de stockage principal de la machine hôte. Je me dis qu'il doit
être possible d'utiliser une faille Microsoft pour attaquer la machine
hôte et lui faire bouffer une saloperie à l'insu de son plein gré.
Du coup je me demande s'il y a des précautions élémentaires que je
pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre une
telle attaque plus difficile.
Cette VM n'est activée que quand je ne peux pas faire autrement,
essentiellement pour tester des codes qui doivent aussi fonctionner sur
W7. Je la démarre aussi de temps en temps pour faire les mises à jour
rituelles.
Tout conseil bienveillant est le bienvenu.
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est
véroler ce répertoire. À toi de ne pas y mettre de données sensibles...
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de
l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se
tenir à jour.
Non, il existe une classe d'attaques de type "virtual machine escape"
dont le but est d'interagir avec l'hôte de la VM, quelques exemples
ayant fait de rapport CVE dans la page wikipedia sur le sujet :
https://en.wikipedia.org/wiki/Virtual_machine_escape
Rien ne dit que d'autres vulnérabilités non publiées ne sont pas déjà
exploitées...
--
que fait le webmaster du ng ? ils ne sont que 7 ou 8 à nous manger sur
le dos et dans 5 ans ils seront maxi 3 ....alors payer maintenant en
vous en sortant le mieux possible pour plus tard.........
-+- MH in GNU : Webmasters de tous les newsgroups, unissez-vous -+-
Merci pour les réponses.
Si je me base sur le lien donné par Éric, c'est surtout mon VirtualBox
qu'il faut tenir à jour pour ne pas faciliter une attaque de type
"virtual machine escape".
Bon WE.
JBF
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents