試想一個場景：當(dāng)你在虛擬機(jī)中的Chrome瀏覽器點開一個鏈接，然后外面的真實電腦就被黑了。

你覺得這可能嗎？

虛擬機(jī)大家應(yīng)該都用過吧，尤其是咱們網(wǎng)絡(luò)安全從業(yè)者，基本上都必不可少的要與虛擬機(jī)打交道。

很多時候一些敏感的網(wǎng)址、文件，都不敢在真機(jī)上直接點開，而是在虛擬機(jī)中點開。這樣即便遇到惡意程序，虛擬機(jī)重置一下快照就好了。

但你有沒有想過，虛擬機(jī)也不是固若金湯的，在虛擬機(jī)里面點開一個鏈接，也可能直接讓你電腦中招！

前幾天，我在安全大佬tk教主的微博里就看到了這么一個案例。

這是一家韓國安全公司發(fā)布的演示案例，他們用6個漏洞組成了一套攻擊鏈，讓你在VMware虛擬機(jī)里的Chrome瀏覽器中點開一個鏈接，然后外面真實的物理計算機(jī)就中招了。

在微博評論區(qū)，另一位安全大佬sunwear給出了這6個漏洞：

具體這6個漏洞的攻擊細(xì)節(jié)非常繁瑣，我研究了一下，嘗試用大白話的方式給大家捋一捋，到底是怎么樣的6個漏洞，就完成在虛擬機(jī)里面攻擊外面物理機(jī)的過程。

首先，在Chrome里點開一個鏈接，這個鏈接里面有特定的惡意JS代碼。這第一個漏洞，就是CVE-2023-3079，它利用Chrome V8JavaScript引擎的漏洞，執(zhí)行惡意的代碼。

我們知道，包括Chrome在內(nèi)的現(xiàn)代瀏覽器都有沙盒機(jī)制，讓網(wǎng)頁的JS代碼只在一個受限的空間里運行，權(quán)限非常有限。

所以接下來的第二步就是要提權(quán)，跳出這個沙盒。這第二步利用的漏洞編號是：CVE-2023-21674，它允許本地攻擊者從 Chromium 內(nèi)部的沙箱執(zhí)行中提升權(quán)限。

光跳出Chromium的沙箱還不夠，還是一個普通的應(yīng)用程序權(quán)限。想要執(zhí)行更敏感的操作，接下來還得提權(quán)。

這第三個漏洞就是用來獲取系統(tǒng)的高級權(quán)限，漏洞編號CVE-2023-29360，它利用Windows操作系統(tǒng)一個內(nèi)核驅(qū)動程序的漏洞，把惡意代碼進(jìn)程提升到系統(tǒng)高級權(quán)限。

到現(xiàn)在為止，攻擊者已經(jīng)拿到了虛擬機(jī)里面的系統(tǒng)高級權(quán)限了，通俗理解就是已經(jīng)把虛擬機(jī)里面那個系統(tǒng)給黑掉了。接下來就是想著怎么跳出虛擬機(jī)，跑到外面來。

想要完成跳出來的動作，需要一個能影響到虛擬機(jī)外面進(jìn)程的漏洞。

但在這之間，需要先獲取一下虛擬機(jī)的很多信息，獲取到這些信息后，才能生成下一步的攻擊代碼。

這第四個漏洞就是用來獲取虛擬機(jī)的敏感信息，漏洞編號：CVE-2023-34044。

拿到這些信息以后，第五個漏洞就非常關(guān)鍵了，這個漏洞的編號是CVE-2023-20869，它利用的是虛擬機(jī)可以共享外面物理機(jī)的藍(lán)牙設(shè)備，通過虛擬機(jī)和外部通信的通道，傳遞一些特別構(gòu)造的數(shù)據(jù)出來，外部的虛擬機(jī)宿主進(jìn)程處理的時候遇到經(jīng)典的緩沖區(qū)溢出，導(dǎo)致執(zhí)行惡意代碼。

通過宿主機(jī)執(zhí)行惡意代碼，攻擊者成功逃逸，來到了外面的物理機(jī)。

最后一步，第六個漏洞CVE-2023-36802，再通過一個Windows內(nèi)核驅(qū)動程序的漏洞，獲取外部真實物理機(jī)的至高權(quán)限。

至此，這就是你只是在虛擬機(jī)里面點了一個鏈接，你的真實物理機(jī)就淪陷的全部過程。

高級的APT攻擊往往都是這樣，通過一系列的漏洞精心構(gòu)造組裝，完成一次攻擊。

以上就是今天的分享，如果覺得不錯的話，歡迎分享轉(zhuǎn)發(fā)，大家的支持是我更新的動力。