VM W7 et sécurité du système hôte

Le
Jean-Baptiste Faure
Bonjour,

Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette
machine j'ai une machine virtuelle W7 Pro avec les mêmes outils de
"sécurité" que n'importe quelle machine W7 de notre parc.
Ma VM peut se connecter à Internet et accéder à un dossier partagé sur
l'espace de stockage principal de la machine hôte. Je me dis qu'il doit
être possible d'utiliser une faille Microsoft pour attaquer la machine
hôte et lui faire bouffer une saloperie à l'insu de son plein gré.

Du coup je me demande s'il y a des précautions élémentaires que je
pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre une
telle attaque plus difficile.

Cette VM n'est activée que quand je ne peux pas faire autrement,
essentiellement pour tester des codes qui doivent aussi fonctionner sur
W7. Je la démarre aussi de temps en temps pour faire les mises à jour
rituelles.

Tout conseil bienveillant est le bienvenu.

--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sergio
Le #26419406
Le 02/12/2016 à 10:26, Jean-Baptiste Faure a écrit :
Bonjour,
Mon poste de travail est une machine Linux (Ubuntu 16.04). Sur cette machine j'ai une machine virtuelle W7 Pro avec les mêmes outils
de "sécurité" que n'importe quelle machine W7 de notre parc.
Ma VM peut se connecter à Internet et accéder à un dossier partagé sur l'espace de stockage principal de la machine hôte. Je me dis
qu'il doit être possible d'utiliser une faille Microsoft pour attaquer la machine hôte et lui faire bouffer une saloperie à l'insu
de son plein gré.
Du coup je me demande s'il y a des précautions élémentaires que je pourrais prendre sur l'hôte et ou sur la VM invitée pour rendre
une telle attaque plus difficile.
Cette VM n'est activée que quand je ne peux pas faire autrement, essentiellement pour tester des codes qui doivent aussi fonctionner
sur W7. Je la démarre aussi de temps en temps pour faire les mises à jour rituelles.
Tout conseil bienveillant est le bienvenu.

A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé sur la "vraie" machine, tout ce qu'on peut faire c'est
véroler ce répertoire. À toi de ne pas y mettre de données sensibles...
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Nicolas George
Le #26419412
Sergio , dans le message écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé
sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce
répertoire. À toi de ne pas y mettre de données sensibles...

Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de
l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se
tenir à jour.
Eric Masson
Le #26419415
Sergio 'Lut,
A priori, seule la VM est attaquable.

Non, il existe une classe d'attaques de type "virtual machine escape"
dont le but est d'interagir avec l'hôte de la VM, quelques exemples
ayant fait de rapport CVE dans la page wikipedia sur le sujet :
https://en.wikipedia.org/wiki/Virtual_machine_escape
Rien ne dit que d'autres vulnérabilités non publiées ne sont pas déjà
exploitées...
--
que fait le webmaster du ng ? ils ne sont que 7 ou 8 à nous manger sur
le dos et dans 5 ans ils seront maxi 3 ....alors payer maintenant en
vous en sortant le mieux possible pour plus tard.........
-+- MH in GNU : Webmasters de tous les newsgroups, unissez-vous -+-
Jean-Baptiste Faure
Le #26419418
Le 02/12/2016 à 13:13, Nicolas George a écrit :
Sergio , dans le message écrit :
A priori, seule la VM est attaquable. Si ta VM a un répertoire partagé
sur la "vraie" machine, tout ce qu'on peut faire c'est véroler ce
répertoire. À toi de ne pas y mettre de données sensibles...

Tu fais des lignes trop longues. Ça c'est la théorie. Des attaques de
l'hôte depuis la machine virtuelle, ça existe, donc il faut bien se
tenir à jour.

Merci pour les réponses.
Si je me base sur le lien donné par Éric, c'est surtout mon VirtualBox
qu'il faut tenir à jour pour ne pas faciliter une attaque de type
"virtual machine escape".
Bon WE.
JBF
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Publicité
Poster une réponse
Anonyme