PwnFest 2016 | 中国黑客唐青昊展示光速 VMware 虚拟机逃逸,这20秒背后究竟发生了什么?

简介:
   
    自从VMware推出虚拟机产品以来,7年的时间,从来没有人突破它的安全防护。难道 VMware 的安全体系已经强大到全世界的黑客只能望之兴叹了吗?

中国黑客唐青昊用20秒的时间,给出了他的答案。

在韩国首尔举行的 PwnFest 2016 黑客破解大赛上,他身处 Workstation 虚拟机中,只运行了一个程序,就让宿主机弹出了计算器程序。这说明,虚拟机中的居民,已经意识到自己虚拟的身份,逃逸到了“上帝空间”——宿主机上了。

虚拟化技术和云计算息息相关。实际上,虚拟化漏洞已经可以影响云上用户的根本安全。而在全球范围内,研究虚拟化漏洞的安全研究员屈指可数。

作为其中的一员,唐青昊觉得有必要用这种破解的方式,向世界警示虚拟化漏洞的风险。那么,从他点击执行,到最后夺取系统权限的短短20秒间,究竟发生了什么呢?

这位黑客为雷锋网讲述了攻击背后的故事。

PwnFest 2016 | 中国黑客唐青昊展示光速 VMware 虚拟机逃逸,这20秒背后究竟发生了什么?

【唐青昊】

Plan A:三个漏洞联合进攻

唐青昊告诉雷锋网,他的 Marvel 团队一直在做虚拟化漏洞的研究。早在两个月以前刚刚听到比赛消息的时候,他就决定用已经掌握的这套漏洞进行比赛。

这套攻击程序包括三个漏洞,分别是:


1、UAF漏洞,控制RIP(大意为每条指令的位置);


2、out-of-bound read 漏洞。


3、out-of-bound write 漏洞。和第二个漏洞合力起到泄露关键信息的作用。

他说。

利用这三个漏洞,唐青昊可以突破虚拟机的限制,拿到系统权限和同一宿主“治下”所有其他虚拟机的数据。

很多商业银行、政府,包括美国的一些大型公司,都在使用 VMware 的产品。而这些产品和我攻击的 Workstation 内部原理基本一致。也就是说,利用这种攻击手法,同样可以攻击这些重要的机构。

目前为止,虽然没有大型商业银行或政府虚拟化软件被攻破的案例。但是唐青昊用行动证明了,黑客并非没有能力做这件事。所有的安全也许都是脆弱的假象。

PwnFest 2016 | 中国黑客唐青昊展示光速 VMware 虚拟机逃逸,这20秒背后究竟发生了什么?

【唐青昊(左)和团队成员应鑫磊(右)在比赛中】

惊险一幕:首次攻击失败

唐青昊告诉雷锋网(公众号:雷锋网),在比赛之前,他并不知道比赛将使用怎样的硬件设备。所以在之前的所有调试中,他的进攻程序都是在 PC 上进行调试的。而最终他得知比赛中将会使用 Surface 设备,在赛前他对雷锋网说,这样的硬件变化,可能会给程序的稳定性带来一定的影响。

果然,在第一次尝试的过程中,正当攻击程序在后台东奔西突的瞬间,虚拟机程序突然崩溃。

在这种情况下,根本没有可能在短时间内调整代码,只能相信自己第二次的运气。

唐青昊说。

第二次尝试马上开始了。让人欣喜的是,只用了二十秒左右,这台 Surface 的屏幕上就弹出了标志性的计算器程序,这意味着唐青昊已经突破了虚拟机,拿到了宿主机权限。

PwnFest 2016 | 中国黑客唐青昊展示光速 VMware 虚拟机逃逸,这20秒背后究竟发生了什么?

【通过Workstation 攻击,在 Surface 设备的 Windows 系统中弹出计算器】

15万美金奖金,为比赛之最

其实,在今年三月举行的 Pwn2Own 黑客大赛上,唐青昊就曾经想要带领团队冲击对 VMware 的破解,但是最终由于技术的成熟度欠缺,而在最后关头被迫放弃挑战。八个月之后,他的心愿终于得以实现。

唐青昊告诉雷锋网,之前他放弃的 Pwn2Own 比赛奖金是 7.5万美元,而在 PwnFest 上,奖金直接翻倍,达到了15万美元。即使是在本届 PwnFest的所有项目中比较,VMware Workstation 的奖金数额都是最高的。

唐青昊解释了虚拟化漏洞如此值钱的原因:

VMware 软件的漏洞总体数量比较少,而且要求技战术水平高,比较考验黑客的功力和研究积累。相比 Windows 动辄几个G的体量,VMware 旗下大多软件的体量都在500M左右,因为代码少,功能简单,所以整体安全性会好一些。这就是 VMware 漏洞值钱的原因。

经过了一个小时左右和VMware技术人员的“闭门交流”,最终 VMware 确认这次攻击确实有效,表示会尽快修复这个漏洞。而唐青昊也成功为自己的身价增加了十五万美元。

由于虚拟机营建的赛博世界极其复杂,雷锋网没有办法在此文进一步展开介绍在0和1的世界精妙绝伦的进攻过程。如果你对这二十秒中,在赛博世界究竟发生了什么依然好奇,那么你一定要阅读雷锋网对唐青昊的专访:《人物志 | 360唐青昊:虚拟世界的越狱者

  
  本文作者: 史中

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
4天前
|
虚拟化
vmware克隆虚拟机后没有ip地址的问题
解决vmware克隆虚拟机后没有内网ip的问题
|
2月前
|
SQL 存储 数据挖掘
【虚拟机数据恢复】VMware虚拟机文件被误删除的数据恢复案例
虚拟机数据恢复环境: 某品牌R710服务器+MD3200存储,上层是ESXI虚拟机和虚拟机文件,虚拟机中存放有SQL Server数据库。 虚拟机故障: 机房非正常断电导致虚拟机无法启动。服务器管理员检查后发现虚拟机配置文件丢失,所幸xxx-flat.vmdk磁盘文件和xxx-000001-delta.vmdk快照文件还在。服务器管理员在尝试恢复虚拟机的过程中,将原虚拟机内的xxx-flat.vmdk删除后新建了一个虚拟机,并分配了精简模式的虚拟机磁盘和快照数据盘,但原虚拟机内的数据并没有恢复。
【虚拟机数据恢复】VMware虚拟机文件被误删除的数据恢复案例
|
2月前
|
Linux 虚拟化 数据安全/隐私保护
【Linux】VMware安装虚拟机- Windows + Linux
【1月更文挑战第20天】【Linux】VMware安装虚拟机- Windows + Linux
|
3天前
|
网络协议 Linux 开发工具
使用Xshell连接VMware上的Linux虚拟机
使用Xshell连接VMware上的Linux虚拟机
21 0
使用Xshell连接VMware上的Linux虚拟机
|
2月前
|
虚拟化
VMware使用 - 虚拟机快照
VMware使用 - 虚拟机快照
22 0
|
虚拟化 数据安全/隐私保护 Linux
|
Linux 虚拟化 数据安全/隐私保护
VMware使用 - 虚拟机克隆
如果已经安装了一台Linux操作系统,没有必要重新安装,只需要克隆就可以了,有两种方式。
17 0
|
3月前
|
存储 网络协议 虚拟化
如何操作VMware ESXi虚拟机的迁移?
如何操作VMware ESXi虚拟机的迁移?
97 1