從虛擬機中逃逸，一直以來被看作類似于一種黑色操作。你不斷的能聽到研究人員們研究一些惡意軟件樣本的傳言，而這些惡意軟件可以從虛擬客戶機逃逸到主機里。與此同時，其他研究人員也在研究一些允許攻擊者從虛擬機中逃逸的漏洞。 

這些有形的攻擊威脅到了虛擬化項目的神圣性，而虛擬化在許多公司里相當流行，因為在服務器整合和功耗方面，它們具有很大的優勢。但漏洞利用工具的數量也正在日益高漲，每一個月都會增加不少。

在2009年7月下旬的美國黑帽大會上，一些研究機構對虛擬機的這一漏洞提出了最為清楚的闡釋。Immunity是一家安全評估和滲透測試的公司，它向外界提供了一個被稱為Cloudburst的工具軟件的詳細信息，該工具由高級安全研究員Kostya Kortchinsky開發。Cloudburst目前能提供給裝有Immunity的CANVAS測試工具的用戶使用，它利用的是VMware Workstation 6.5.1和更早期版本的顯示功能bug，而這一bug同樣出現在VMware Player、服務器、Fusion、ESXi和ESX [見CVE 2009-1244，以得到確切版本編號]。

Kortchinsky 在Cloudburst的開發中有一些創新的思維，他選擇利用的是虛擬機和一些設備的依賴關系(如視頻適配器、軟盤控制器、IDE控制器、鍵盤控制器和網絡適配器)，從而獲得對主機的訪問。在黑帽大會上，他向外界做了一次報告，解釋了他如何利用VMware模擬視頻設備的漏洞來進行攻擊，他還演示了如何利用主機泄漏到客戶機的內存，以及如何從客戶機向主機內存中的任何位置寫入任意數據。

"視頻適配器處理最復雜的數據，"他說到。 "它有一個特別巨大的共享內存。"

Kortchinsky說，相同的代碼模擬每個VMware產品上的設備。 "如果有一個漏洞存在，那么每一個VMware的產品上都存在該漏洞，而且通過I / O端口或內存映射I / O端口可以從客戶機上對其進行訪問"。 Immunity表示，Cloudburst具有可以破壞(corrupt)內存的能力，這允許它以隧道方式在客戶機幀緩沖區(frame buffer)之上建立起與主機的MOSDEF連接，從而與主機進行通信。MOSDEF是CANVAS工具集里的漏洞利用工具，它由Immunity公司創始人Dave Aitel開發。

在今年4月10日，VMware已經修補了這些版本的漏洞。4天之后，Cloudburst發布，并被加入到CANVAS工具集中。而正是這一點使得Cloudburst與眾不同，它不再是一個漏洞驗證性觸發代碼(proof of concept)，這和大多數虛擬機惡意軟件不同。

文章寫到這里，該安全問題技術部分的內容已經結束了，但作為一個具有購買權力和負責決策的安全經理來說，它對于你意味著什么呢?在兩年前經濟還沒有衰退的時候，這一問題給我們的啟示會更多，你會爭辯說企業的支出應更多的考慮安全因素，而不是經濟因素。因為安全問題可能會影響企業的IT環境，而這種影響是可以切身感受到的。

虛擬化的威脅一直是抽象的，理論多于實踐。當然，目前還存在著一些不易察覺的、虛擬的rootkit技術(如Blue Pill)，但這要求黑客具有對技術的理解天賦，而把一些非常復雜的東西作為攻擊的工具對黑客來說似乎是不可行的。專家同時警告說，虛擬環境里有形的威脅已經出現，但對于這些理論性的東西，你仍然不可能制定企業自身戰略并購買相應的虛擬化產品。你很可能需要做的就是，跟上虛擬化的趨勢，因為它能帶來很大的好處，讓用戶垂涎欲滴。而它的安全性問題將來也會隨之來臨。

不過，是在未來。

針對虛擬機的攻擊已從理論慢慢的變成現實。目前，已經出現了關于虛擬機逃逸的五個CVE警報，在Kortchinsky、iDefense 公司的Greg McManus以及Core Security公司研究小組工作的基礎上，研究人員和其他的攻擊者會繼續對這一問題進行分析、研究，因此以后出現更多安全漏洞幾乎是必然的事情。

專家說，網絡不應該依賴傳統的安全措施，因為它們不能抵御每個虛擬機的威脅。到目前為止，大多數組織都在反應有關虛擬環境的安全問題，以及不斷涌現的新攻擊、漏洞利用程序和漏洞驗證性觸發代碼(proof of concept)。虛擬機的安全正處于風口浪尖的境地。

兩年前，安全專家、現任思科云和虛擬化解決方案的總監Chris Hoff曾說過："虛擬化的安全威脅和漏洞晦澀難懂，而企業管理層對這些安全問題表現消極，他們認為在部署虛擬化技術的時候，安全問題不是考慮的重點。所以，即使嘗試通過建立商業案例來考慮針對安全虛擬化環境的投資，這些努力也起不到多大的作用。"

隨著Cloudburst被看作最近一次針對虛擬機的攻擊，在這一背景下，Hoff以及其他致力于虛擬環境安全的專家的預言似乎得到了驗證。

所以，也是在兩年前，Hoff寫了一篇關于某虛擬機漏洞的文章。在當時，攻擊者利用該漏洞可以在VMware客戶端操作系統上運行任意代碼。在那篇文章中，他的最后一句話是："這將是針對虛擬機的第一次攻擊，以后還會出現更多，這是可以肯定的... 在你必須去重新配置或為你的全球虛擬數據中心(server farms)打補丁之前...你可以開始用這樣的例子與管理層討論進行冷靜、理性的討論..."  

【編輯推薦】

1. 虛擬機泛濫 系統安全怎么辦
2. 虛擬機會削弱安全性
3. Linux系統中的虛擬機可能會削弱安全性