[INFO] Publication d’outils d’évasion de machines virtuelles Windows pour VMWare Fusion et Workstation

[INFO] Publication d’outils d’évasion de machines virtuelles Windows pour VMWare Fusion et Workstation

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication d’outils permettant l’évasion de machines virtuelles Windows pour VMWare Fusion et Workstation au cours de la conférence DerbyCon. 

Description :

Plusieurs chercheurs de Zero Day Initiative (ZDI) ont publié, à la suite de leur conférence à la DerbyCon, des outils permettant d’exploiter des processus inhérents à la conception de la solution de virtualisation VMWare. Disponibles sur Github sous la forme de modules pour le Framework Metasploit, ces codes d’exploitation permettent d’échapper au cloisonnement des machines virtuelles afin de pouvoir accéder à l’hôte (sur lequel repose l’hyperviseur).

Ces chercheurs en sécurité rappellent qu’en effet, la virtualisation est de plus en plus utilisée, car elle répond à bon nombre de problématiques tout aussi bien techniques, de supervision ou encore de sécurité. Ce procédé permet notamment de faciliter la surveillance des systèmes virtualisés, leur sauvegarde, leur performance, leur rétablissement à un état antérieur en cas de problème (via des mécanismes de snapshot), de cloisonner les systèmes et bien d’autres.

L’utilisation de la virtualisation dans le domaine de la sécurité apporte de très nombreux bénéfices dont le plus notable, comme énoncé précédemment, est le cloisonnement virtuel des systèmes. Lorsqu’un système fait alors l’objet d’une compromission, la virtualisation empêche, dans la plupart des cas, l’attaquant de s’en prendre aux autres services qui reposent sur d’autres machines virtuelles.

En effet, outre les risques inhérents à la compromission de la machine virtuelle (comme l’accès aux données qu’elle contient, ou l’utilisation de cette dernière pour pivoter sur le réseau), le risque le plus important concerne l’échappement du cloisonnement, le contournement de ces mécanismes qui permettraient à l’attaquant de prendre la main sur le système hôte, et en conséquence, sur tous les systèmes virtualisés hébergés sur cet hôte physique.

La sécurité des solutions de virtualisation (hyperviseurs) est donc primordiale et fait l’objet de plus en plus d’attention ces dernières années. Les chercheurs de ZDI indiquent à juste titre que souvent, l’utilisation de la virtualisation permet de mitiger un risque en limitant la progression d’un attaquant, mais que cela limite aussi les experts en sécurité informatique conduisant des tests d’intrusion sur ces systèmes. Ce blocage empêche ainsi la découverte de vulnérabilités qui pourraient se trouver au niveau de l’hôte et qui pourraient avoir un impact bien plus grave. Il faut donc considérer que la virtualisation constitue indéniablement un rempart supplémentaire qui ne doit pas se substituer à une défense en profondeur comme la sécurisation des systèmes hôtes et virtualisés.

Sur une note plus technique, ces outils exploitent les canaux de communication entre l’hyperviseur contrôlant et les machines virtuelles afin de pouvoir exécuter des commandes directement sur l’hôte. Deux modules sont mis à disposition :

  • VMware Guest/Host Copy Pirate : permet de récupérer le tampon de copie du système hôte depuis une machine virtuelle. Ce module fonctionne sur les versions Fusion et Workstation de VMWare depuis des machines virtuelles Windows.
  • VMWare VMwareHostOpen Local Host Escalation : permet d’exécuter des commandes sur le système hôte. Ce module fonctionne sur les versions Fusion de VMWare depuis des machines virtuelles Windows.

Ces outils encore au stade de preuves de concept opérationnelles offrent plusieurs pistes d’exploration pour améliorer l’exploitation de ces mécanismes d’évasion. Visant actuellement des machines « invitées » Windows, il n’est pas à exclure que ces outils puissent être portés pour fonctionner depuis une plus grande variété de systèmes virtualisés.


Référence :

Référence CERT-XMCO :

CXN-2017-3647


Jean-Christophe Pellat

Analyste CERT-XMCO