一个价值18万美金的漏洞是什么样的?

11月7日,在天府杯2020国际网络安全大赛的产品破解赛上,360政企安全漏洞研究院选手挑战VMWare ESXi项目,仅用几K代码就实现了虚拟机逃逸,获取了系统最高权限,成为可以完全控制机器的“上帝之手”。

这短短15秒的破解操作,一举拿下了本届大赛赛题的最高奖金。

15秒完成“S”级虚拟机逃逸 直取系统最高权限

通常来说,虚拟化是指通过硬件抽象层对整个计算机系统进行虚拟,将一台物理计算机系统虚拟化为一台或多台虚拟计算机系统。随着虚拟化技术的发展,各虚拟化产品都得到了极大的发展,其中,在商用市场中,VMware以遥遥领先的市场份额,堪称虚拟化届的翘楚。

此次天府杯上将VMWare ESXi破解项目置于“赛眼”,一方面由于其破解难度极高,另一方面是漏洞影响范围广泛。

据负责完成此次破解赛的360政企安全漏洞研究院漏洞挖掘与利用高级专家、虚拟化安全研究员肖伟谈到,VMWare ESXi破解难度堪称“S”级,其原因一是攻击面很少,二是沙箱很难饶过。

众所周知,沙箱中有很多文件夹不能访问、不能创建进程,可以说权限很低。此次肖伟则是利用用户态程序的UAF漏洞,实现代码执行,通过一个内核漏洞,绕过了沙箱限制,获得内核级别的代码执行,最终得到了系统最高权限。

如果说这一项目破解难度为“S”级,那漏洞影响力同样是“S”级。肖伟表示,当前众多私有云都使用了VMWare ESXi,通常是在一台物理机上运行了几十台、上百台虚拟机,只要从一台虚拟机完成逃逸,就能控制在其上面运行的所有虚拟机。放在现实场景中,一台物理机上承载着上百企业的运行业务,一旦攻击者从一个虚拟机逃逸,就能以此为跳板,获取其他上百企业系统的最高权限。

一张多米诺骨牌倒牌,能造成一连串倒牌崩溃现象。一个虚拟机被操控,可能致使上百企业的敏感数据、业务数据被大面积泄露,或将造成巨额资金损失。

而这一过程的起源,仅仅可能是一个运行了15秒的程序。

虚拟机安全隐患频发 360专家提防范思路

云计算的广泛应用,在推动虚拟机、云主机、容器等技术相继落地的同时,也让安全问题日益突出。

云时代对数据和运算的依赖性,创生了无数虚拟机。在这些虚拟机里,可能奔流着银行交易数据、政府系统信息、企业重要财报等。但也衍生了最严重的安全问题——虚拟机逃逸。虚拟机逃逸是突破虚拟机的限制,实现与宿主机操作系统交互的一个过程,攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。

面对虚拟机逃逸事件,以及虚拟机逃逸攻击可能带来的巨大危害,防范虚拟机逃逸已经成为关键问题。破解赛现场,肖伟给出了几个防范思路:一是移除一些虚拟机不使用的设备,实现自我“减重”也降低攻击面,也可将虚拟机和ESXi进行网络隔离,进一步减少攻击面;二是及时找出漏洞,更新补丁,消灭已知漏洞,厂商可通过悬赏方式鼓励白帽进行漏洞挖掘,减少自身漏洞,降低逃逸事件发生概率;三是通过缓解措施,提升逃逸难度,也可以利用沙箱机制,实施多级防护;四是对于未知攻击风险,可以通过对用户行为进行监测、分析,及时识别未知逃逸行为。

据悉,目前360政企安全漏洞研究院已将漏洞反馈给厂商,厂商随后也将对这一高危漏洞上线紧急补丁。赛后,360政企安全漏洞研究院也将协助厂商进行其他漏洞修复工作。

随着业界对虚拟机逃逸风险越来越重视,基于软硬件相结合的缓解措施以及层层隔离的沙箱机制等安全措施的不断完善,虚拟机逃逸难度也将越来越难,企业虚拟化的环境也将越来越安全。

此次“天府杯”2020国际网络安全大赛于11月7日在成都正式开幕,大赛持续两天时间,由360集团联合多家行业顶尖单位共同主办。作为本届参赛的20多支战队之一,360政企安全漏洞研究院一路势如破竹,连续攻破Chrome、Firefox、VMWareWorkstation、VMWare ESXi、Ubuntu、Adobe PDF Reader等项目,成为天府“摘金头牌”战队,成功领跑2020天府榜单。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2020-11-09 10:17:04
互联网 报告:5G时代企业最关心数据安全威胁
数据安全、网络与边界、应用安全、云安全、安全管理及服务是甲方用户最为关心的TOP5安全领域。”日前发布的《2020中国网络安全企业100强》报告指出,随着5G产业逐渐增多, <详情>
2020-11-09 10:01:03
互联网 新消费催化网络安全新变局 专家:安全即服务正在成为新趋势
网络安全牵一发而动全身,目前我国网络安全形势依然严峻。现场发布的一组数据显示,在诸多网络风险中,业务内网隐患以47%占比排名各种风险中的首位。此外,互联网侧隐患、 <详情>
2020-11-06 10:38:00
互联网 360重磅发布三大战略级DNS新品,构筑政企安全防护网
11月2日,360政企安全集团于ISC平台正式上线“安全DNS新产品发布会”,面向全网重磅发布三大战略级DNS产品服务,包括基础解析服务、安全解析服务、360DNS安全监测系统。聚 <详情>
2020-11-04 13:45:49
大数据资讯 安全牛《2020中国网络安全企业100强报告》发布
甲方用户对网络安全热度和优先级的判断有着显著不同,数据安全、隐私增强、应用安全、高级威胁防护和物联网设备是甲方用户最关心的TOP5安全细分领域。 <详情>
2020-10-27 10:49:00
运营商 中国电信浙江公司开展2020年网络与信息安全技能竞赛
在互联网和数字经济的时代,网信安全方面所面临的挑战在逐日加大,加强网信安全相关知识和新技术的学习也迫在眉睫。 <详情>