如果客户操作系统过时，就有可能感染主机操作系统

Question

我想知道，如果我不更新VM (应用程序和客户操作系统本身)的客户操作系统上的软件，那么风险会发生多大变化，与之相比，如果所有的风险都保持在最新水平，风险会发生多大的变化。

注意: VM中的来宾操作系统可能被用于任何目的，但在这种情况下，假设VM的主要目的是避免感染主机操作系统，因此VM将用于运行不受信任的应用程序、打开不受信任的文件(pdf、doc、html等)、访问不受信任的网站等。所以，我不会仅仅使用VM访问youtube，在这种情况下，风险可能是可以忽略不计的(无论系统是最新的还是最新的)。我在考虑越野人做更危险的事情。

我之所以问这个问题，是因为我意识到让VM中的软件保持最新的状态可能会很痛苦，特别是当您有几个VM时，或者当您只想使用一次性实例时，或者当您不希望网络在VM中可用时，或者当您依赖快照时(这些快照就会变老，因此过时)。我知道不及时更新可能会增加风险，但我不知道有多少，而且就我所知，两者之间的差异甚至可以忽略不计。它可能取决于通过利用VM本身中的漏洞而逃避VM的可能性，而不依赖来宾操作系统中的任何其他漏洞，而不是为了逃避VM而需要客户操作系统中的漏洞的可能性。因此，也许只有在VM漏洞方面有足够经验的人才能评估这种风险的可能性。

Answer 1

当然，在大多数用例中，在不首先利用Guest OS中的漏洞的情况下，恶意软件甚至能够尝试逃跑的可能性几乎没有。因此，从技术上讲，它确实增加了你被感染的几率。

另一方面，甚至于恶意软件研究也经常使用VM，在恶意软件中，客户操作系统被故意感染，VM用于保护主机操作系统。在我看来，依靠可靠的、最新的、配置良好的虚拟机来保护主机操作系统是足够安全的。

但是，请记住，感染Guest OS可能会带来更多的麻烦，而不仅仅是感染主机操作系统。它可能开始作为僵尸网络的一部分，它可能被用作侵入您的网络的垫脚石，挖掘密码货币，并以各种其他恼人和潜在危险的方式。

Answer 2

根据您的问题，必须假定攻击者可以完全接管VM。当这样做时，攻击者有几种方法可以对主机操作系统造成伤害，甚至更糟：

• 过去有几个bug，使得攻击者能够跨越虚拟化边界，并在VM内部执行主机OS中的代码。考虑到虚拟化通常是以系统权限运行的，越出VM使攻击者可以在主机操作系统中直接访问根。这主要可以通过使用最新的虚拟化软件来防止。
• 如果VM具有网络访问权限，它可能攻击VM之外的网络系统，例如访问主机OS中的一些网络可访问的配置工具，或者使用DOS攻击从VM内部可以到达的机器，发送垃圾邮件或类似的。可以通过完全拒绝任何网络访问(即没有虚拟网卡)或使用受限网络(仅限于主机的网络、防火墙等)来防止这种情况。