自從VMware推出虛擬機(jī)產(chǎn)品以來，7年的時(shí)間，從來沒有人突破它的安全防護(hù)。難道 VMware 的安全體系已經(jīng)強(qiáng)大到全世界的黑客只能望之興嘆了嗎？

中國黑客唐青昊用20秒的時(shí)間，給出了他的答案。

在韓國首爾舉行的 PwnFest 2016 黑客破解大賽上，他身處 Workstation 虛擬機(jī)中，只運(yùn)行了一個(gè)程序，就讓宿主機(jī)彈出了計(jì)算器程序。這說明，虛擬機(jī)中的居民，已經(jīng)意識(shí)到自己虛擬的身份，逃逸到了“上帝空間”——宿主機(jī)上了。

虛擬化技術(shù)和云計(jì)算息息相關(guān)。實(shí)際上，虛擬化漏洞已經(jīng)可以影響云上用戶的根本安全。而在全球范圍內(nèi)，研究虛擬化漏洞的安全研究員屈指可數(shù)。

作為其中的一員，唐青昊覺得有必要用這種破解的方式，向世界警示虛擬化漏洞的風(fēng)險(xiǎn)。那么，從他點(diǎn)擊執(zhí)行，到最后奪取系統(tǒng)權(quán)限的短短20秒間，究竟發(fā)生了什么呢？

這位黑客為雷鋒網(wǎng)講述了攻擊背后的故事。

【唐青昊】

Plan A：三個(gè)漏洞聯(lián)合進(jìn)攻

唐青昊告訴雷鋒網(wǎng)，他的 Marvel 團(tuán)隊(duì)一直在做虛擬化漏洞的研究。早在兩個(gè)月以前剛剛聽到比賽消息的時(shí)候，他就決定用已經(jīng)掌握的這套漏洞進(jìn)行比賽。

這套攻擊程序包括三個(gè)漏洞，分別是：

1、UAF漏洞，控制RIP（大意為每條指令的位置）；

2、out-of-bound read 漏洞。

3、out-of-bound write 漏洞。和第二個(gè)漏洞合力起到泄露關(guān)鍵信息的作用。

他說。

利用這三個(gè)漏洞，唐青昊可以突破虛擬機(jī)的限制，拿到系統(tǒng)權(quán)限和同一宿主“治下”所有其他虛擬機(jī)的數(shù)據(jù)。

很多商業(yè)銀行、政府，包括美國的一些大型公司，都在使用 VMware 的產(chǎn)品。而這些產(chǎn)品和我攻擊的 Workstation 內(nèi)部原理基本一致。也就是說，利用這種攻擊手法，同樣可以攻擊這些重要的機(jī)構(gòu)。

目前為止，雖然沒有大型商業(yè)銀行或政府虛擬化軟件被攻破的案例。但是唐青昊用行動(dòng)證明了，黑客并非沒有能力做這件事。所有的安全也許都是脆弱的假象。

【唐青昊（左）和團(tuán)隊(duì)成員應(yīng)鑫磊（右）在比賽中】

驚險(xiǎn)一幕：首次攻擊失敗

唐青昊告訴雷鋒網(wǎng)，在比賽之前，他并不知道比賽將使用怎樣的硬件設(shè)備。所以在之前的所有調(diào)試中，他的進(jìn)攻程序都是在 PC 上進(jìn)行調(diào)試的。而最終他得知比賽中將會(huì)使用 Surface 設(shè)備，在賽前他對(duì)雷鋒網(wǎng)說，這樣的硬件變化，可能會(huì)給程序的穩(wěn)定性帶來一定的影響。

果然，在第一次嘗試的過程中，正當(dāng)攻擊程序在后臺(tái)東奔西突的瞬間，虛擬機(jī)程序突然崩潰。

在這種情況下，根本沒有可能在短時(shí)間內(nèi)調(diào)整代碼，只能相信自己第二次的運(yùn)氣。

唐青昊說。

第二次嘗試馬上開始了。讓人欣喜的是，只用了二十秒左右，這臺(tái) Surface 的屏幕上就彈出了標(biāo)志性的計(jì)算器程序，這意味著唐青昊已經(jīng)突破了虛擬機(jī)，拿到了宿主機(jī)權(quán)限。

【通過Workstation 攻擊，在 Surface 設(shè)備的 Windows 系統(tǒng)中彈出計(jì)算器】

15萬美金獎(jiǎng)金，為比賽之最

其實(shí)，在今年三月舉行的 Pwn2Own 黑客大賽上，唐青昊就曾經(jīng)想要帶領(lǐng)團(tuán)隊(duì)沖擊對(duì) VMware 的破解，但是最終由于技術(shù)的成熟度欠缺，而在最后關(guān)頭被迫放棄挑戰(zhàn)。八個(gè)月之后，他的心愿終于得以實(shí)現(xiàn)。

唐青昊告訴雷鋒網(wǎng)，之前他放棄的 Pwn2Own 比賽獎(jiǎng)金是 7.5萬美元，而在 PwnFest 上，獎(jiǎng)金直接翻倍，達(dá)到了15萬美元。即使是在本屆 PwnFest的所有項(xiàng)目中比較，VMware Workstation 的獎(jiǎng)金數(shù)額都是最高的。

唐青昊解釋了虛擬化漏洞如此值錢的原因：

VMware 軟件的漏洞總體數(shù)量比較少，而且要求技戰(zhàn)術(shù)水平高，比較考驗(yàn)黑客的功力和研究積累。相比 Windows 動(dòng)輒幾個(gè)G的體量，VMware 旗下大多軟件的體量都在500M左右，因?yàn)榇a少，功能簡(jiǎn)單，所以整體安全性會(huì)好一些。這就是 VMware 漏洞值錢的原因。

經(jīng)過了一個(gè)小時(shí)左右和VMware技術(shù)人員的“閉門交流”，最終 VMware 確認(rèn)這次攻擊確實(shí)有效，表示會(huì)盡快修復(fù)這個(gè)漏洞。而唐青昊也成功為自己的身價(jià)增加了十五萬美元。

由于虛擬機(jī)營(yíng)建的賽博世界極其復(fù)雜，雷鋒網(wǎng)沒有辦法在此文進(jìn)一步展開介紹在0和1的世界精妙絕倫的進(jìn)攻過程。如果你對(duì)這二十秒中，在賽博世界究竟發(fā)生了什么依然好奇，那么你一定要閱讀雷鋒網(wǎng)對(duì)唐青昊的專訪：《人物志 | 360唐青昊：虛擬世界的越獄者》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。