Un virus sur une machine virtuelle (VirtualBox, VMWare, …) peut-il infecter la machine hôte

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Vous utilisez une VM VirtualBox ou VMware.
Vous souhaitez savoir si un virus exécuté dans la machine virtuelle peut attaquer l'hôte (hyperviseur).
Peut-on infecter le PC hôte avec un malware depuis la VM ?
En clair donc le malware peut-il sortir de la machine virtuelle par un échappement pour s'attaquer à la machine hôte.

Cet article vous explique les cas où un virus peut effectuer une évasion et infecter la machine hôte.

Le fonctionnement des machines virtuelle (Virtualbox, VMWare, ...)

Les machines virtuelles permettent d'émuler un environnement virtuel comme s'il s'agissait d'un véritable PC.
On peut donc installer un système d'exploitation invité puis des applications.

Les machines virtuelle se composent :

  • D'une machine hôte (hyperviseur, Isolateurs) : c'est le PC sur lequel vous faites tourner la VM et le logiciel de virtualisation. Dans les entreprises il s'agit de serveurs qui peuvent aussi fonctionner en cluster.
  • De la machine virtuelle ou VM : c'est le PC émule qui tourne sur la machine hôte.
Le fonctionnement des machines virtuelle (Virtualbox, VMWare, ...)

Plus de détails dans cette page :

Un virus peut-il infecter une machine virtuelle (VirtualBox, VMWare)

Il existe deux cas où un virus peut sortir de la machine virtuelle et s'exécuter dans la machine hôte :

  • Une vulnérabilité et faille logiciel présente sur la machine virtuelle permet d'exécuter un code sur la machine hôte (hyperviseur) ;
  • Un virus infecte les exécutables dans la machine virtuelle puis l'utilisateur exécute ensuite ce fichier infecté en dehors la VM ;
  • Des attaques réseaux.

Les deux dernières modes sont à prendre en compte par le fait que la VM se comporte comme un PC classique.
Ainsi on peut le voir comme un PC au sein du réseau.
Les méthodes de propagation de malwares et attaques sont alors les mêmes.

Vulnérabilités et failles logiciels dans la machine virtuelle

L'échappement de la machine virtuelle est le processus d'un programme sortant de la machine virtuelle sur laquelle il s'exécute et interagit avec le système d'exploitation hôte.
Une machine virtuelle est une "installation de système d'exploitation invité complètement isolée dans un système d'exploitation hôte normal".

En 2008, une vulnérabilité (CVE-2008-0923) dans VMware découverte par Core Security Technologies a rendu possible l'évasion de VM sur VMware Workstation 6.0.2 et 5.5.4.

Il est donc important de maintenir à jour le logiciel de la machine virtuelle afin de combler les failles de sécurité.
Cela évite d'avoir une version vulnérabilité qui peut permettre l'exécution de code au de là de la VM.
Il faut donc vérifier les bulletins de sécurité VMWare, Oracle Virtualbox.

Hyperjacking : les attaques de l'hyperviseur

L'Hyperjacking qui consiste à prendre le contrôle de l'hypervisor depuis la machine hôte.
L'attaquant tente d'y dissimuler un code malveillant.

  • Injection d'un hyperviseur non autorisé sous l'hyperviseur d'origine
  • Obtenir directement le contrôle de l'hyperviseur d'origine
  • Exécution d'un hyperviseur non autorisé par-dessus un hyperviseur existant

Pour le moment, il n'y a pas d'attaques massives connues et aucun malware n'a été mis en ligne pour tenter ce type d'attaque de manière automatisée.
Toutefois les machines virtuelles étaient de plus en plus utilisés par les entreprises, on peut s'attendre à une recrudescence des attaques Hyperjacking à l'avenir.

Les virus

Un virus infecte les exécutables soit donc les fichiers du type EXE, DLL, SCR, PIF, ...
Lorsqu'une personne exécute un fichier infecté, ce dernier se charge en mémoire comme tout programme.
Puis il infecte ensuite tous les exécutables qui seront exécutés sur le PC.
Il se diffuse donc sur tous les fichiers du PC.

Si l'utilisateur exécute le fichier infecté sur un nouvelle ordinateur, il va l'infecter et ainsi de suite.

Ce scénario peut se passer avec une machine virtuelle puisqu'elle se comporte comme un vrai PC.

Les recommandations :

  • Utiliser un antivirus sur la machine virtuelle peut s'avérer nécessaire.
  • Avoir un comportement minimal de sécurité. Ne pas ouvrir des fichiers inconnus, etc.

Les attaques réseaux

Enfin un vecteur pour sortir de la machine virtuelle sont les attaques réseaux.
Le PC virtualisé se comporte comme un PC sur un réseau LAN.

Ainsi si un vers informatique parvient à s'exécuter sur le PC virtualisé, il peut envoyer des trames sur le réseau pour infecter d'autres PC.
Cela peut donc permettre d'infecter l'hyperviseur s'il est vulnérable.
Inversement, un PC infecté du réseau peut infecter le PC virtualisé.

Les recommandations :

  • Patcher et mettre à jour Windows sur chaque PC
  • Installer un pare-feu pour bloquer les services réseaux

Liens

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Un virus sur une machine virtuelle (VirtualBox, VMWare, …) peut-il infecter la machine hôte mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum