一個價值18萬美金的漏洞是什么樣的？

11月7日，在天府杯2020國際網(wǎng)絡安全大賽的產(chǎn)品破解賽上，360政企安全漏洞研究院選手挑戰(zhàn)VMWare ESXi項目，僅用幾K代碼就實現(xiàn)了虛擬機逃逸，獲取了系統(tǒng)最高權(quán)限，成為可以完全控制機器的“上帝之手”。 

這短短15秒的破解操作，一舉拿下了本屆大賽賽題的最高獎金。

15秒完成“S”級虛擬機逃逸 直取系統(tǒng)最高權(quán)限

通常來說，虛擬化是指通過硬件抽象層對整個計算機系統(tǒng)進行虛擬，將一臺物理計算機系統(tǒng)虛擬化為一臺或多臺虛擬計算機系統(tǒng)。隨著虛擬化技術(shù)的發(fā)展，各虛擬化產(chǎn)品都得到了極大的發(fā)展，其中，在商用市場中，VMware以遙遙領(lǐng)先的市場份額，堪稱虛擬化屆的翹楚。

此次天府杯上將VMWare ESXi破解項目置于“賽眼”，一方面由于其破解難度極高，另一方面是漏洞影響范圍廣泛。

據(jù)負責完成此次破解賽的360政企安全漏洞研究院漏洞挖掘與利用高級專家、虛擬化安全研究員肖偉談到，VMWare ESXi破解難度堪稱“S”級，其原因一是攻擊面很少，二是沙箱很難饒過。

眾所周知，沙箱中有很多文件夾不能訪問、不能創(chuàng)建進程，可以說權(quán)限很低。此次肖偉則是利用用戶態(tài)程序的UAF漏洞，實現(xiàn)代碼執(zhí)行，通過一個內(nèi)核漏洞，繞過了沙箱限制，獲得內(nèi)核級別的代碼執(zhí)行，最終得到了系統(tǒng)最高權(quán)限。

如果說這一項目破解難度為“S”級，那漏洞影響力同樣是“S”級。肖偉表示，當前眾多私有云都使用了VMWare ESXi，通常是在一臺物理機上運行了幾十臺、上百臺虛擬機，只要從一臺虛擬機完成逃逸，就能控制在其上面運行的所有虛擬機。放在現(xiàn)實場景中，一臺物理機上承載著上百企業(yè)的運行業(yè)務，一旦攻擊者從一個虛擬機逃逸，就能以此為跳板，獲取其他上百企業(yè)系統(tǒng)的最高權(quán)限。

一張多米諾骨牌倒牌，能造成一連串倒牌崩潰現(xiàn)象。一個虛擬機被操控，可能致使上百企業(yè)的敏感數(shù)據(jù)、業(yè)務數(shù)據(jù)被大面積泄露，或?qū)⒃斐删揞~資金損失。

而這一過程的起源，僅僅可能是一個運行了15秒的程序。

虛擬機安全隱患頻發(fā) 360專家提防范思路

云計算的廣泛應用，在推動虛擬機、云主機、容器等技術(shù)相繼落地的同時，也讓安全問題日益突出。

云時代對數(shù)據(jù)和運算的依賴性，創(chuàng)生了無數(shù)虛擬機。在這些虛擬機里，可能奔流著銀行交易數(shù)據(jù)、政府系統(tǒng)信息、企業(yè)重要財報等。但也衍生了最嚴重的安全問題——虛擬機逃逸。虛擬機逃逸是突破虛擬機的限制，實現(xiàn)與宿主機操作系統(tǒng)交互的一個過程，攻擊者可以通過虛擬機逃逸感染宿主機或者在宿主機上運行惡意軟件。

面對虛擬機逃逸事件，以及虛擬機逃逸攻擊可能帶來的巨大危害，防范虛擬機逃逸已經(jīng)成為關(guān)鍵問題。破解賽現(xiàn)場，肖偉給出了幾個防范思路：一是移除一些虛擬機不使用的設備，實現(xiàn)自我“減重”也降低攻擊面，也可將虛擬機和ESXi進行網(wǎng)絡隔離，進一步減少攻擊面；二是及時找出漏洞，更新補丁，消滅已知漏洞，廠商可通過懸賞方式鼓勵白帽進行漏洞挖掘，減少自身漏洞，降低逃逸事件發(fā)生概率；三是通過緩解措施，提升逃逸難度，也可以利用沙箱機制，實施多級防護；四是對于未知攻擊風險，可以通過對用戶行為進行監(jiān)測、分析，及時識別未知逃逸行為。

據(jù)悉，目前360政企安全漏洞研究院已將漏洞反饋給廠商，廠商隨后也將對這一高危漏洞上線緊急補丁。賽后，360政企安全漏洞研究院也將協(xié)助廠商進行其他漏洞修復工作。

隨著業(yè)界對虛擬機逃逸風險越來越重視，基于軟硬件相結(jié)合的緩解措施以及層層隔離的沙箱機制等安全措施的不斷完善，虛擬機逃逸難度也將越來越難，企業(yè)虛擬化的環(huán)境也將越來越安全。

此次“天府杯”2020國際網(wǎng)絡安全大賽于11月7日在成都正式開幕，大賽持續(xù)兩天時間，由360集團聯(lián)合多家行業(yè)頂尖單位共同主辦。作為本屆參賽的20多支戰(zhàn)隊之一，360政企安全漏洞研究院一路勢如破竹，連續(xù)攻破Chrome、Firefox、VMWareWorkstation、VMWare ESXi、Ubuntu、Adobe PDF Reader等項目，成為天府“摘金頭牌”戰(zhàn)隊，成功領(lǐng)跑2020天府榜單。

 雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。