Sécurité VMware

StudioNeuneu · par **StudioNeuneu** » 15 févr. 2011 21:48

Bonjour.

Je ne sais pas si je suis au bon endroit. J'aurais une question à propos des machines virtuelles sur VMware.
J'aimerais savoir si on peut se faire infecter une machine virtuelle sans craindre de se faire infecter sa machine hote aussi.

Je demande ça, parce que sur une machine virtuelle, j'aime bien "jouer". En fait j'ai tendance a faire ce qu'il ne faut pas, pour tester et voir ce qu'il se passe.

Et l'autre jour, en faisant un peu n'importe quoi, je me suis retrouver avec mon anti-virus (sur la machine hote) qui me dit:

Une menace a été détectée lors de l'accès au Web par l'application : C:\Windows\SysWOW64\vmnat.exe.

Et la je comprends pas trop pourquoi mon anti-virus a detecté ça, alors que c'est ma machine virtuelle qui accédait a internet.
Alors j'aimerais savoir si il y a moyen de configurer VMware pour que justement il n'y ait vraiment aucun risque.

Voila, merci.

par **Malekal_morte** » 16 févr. 2011 17:58

Salut,

A ma connaissance non.
Après le risque 0 n'existe pas, de plus, VMWare peut contenir des vulnérabilités mais je connais pas de malwares qui en profitent.

Le gros risque c'est plutôt le vol de données par le réseau (mot de passe qui transite en clair).

StudioNeuneu · par **StudioNeuneu** » 16 févr. 2011 21:35

Salut!!

Merci pour la réponse.

Mais ce que je comprends pas alors, c'est pourquoi mon antivirus a réagi par rapport à vmnat.exe?
Il y a eu plusieurs alertes sur ma machine hote, des pages internet ou des fichiers jar avec des trojans. Mais ils venaient d'ou?
Par exemple, comment mon antivirus a pu detecter un fichier java avec un trojan dedans, alors que c'etait sur ma machine virtuelle que j'y ai eu acces? Comment un fichier vérolé a pu avoir accès à ma machine hote alors que je n'ai rien fait pour le télécharger?
C'est surtout ça qui m'inquiete.

par **Malekal_morte** » 18 févr. 2011 19:03

Tu n'as pas plus d'info sur l'alerte de Kaspersky et notamment l'adresse du site auquel vmnat.exe tente de se connecter?

EboO · par **EboO** » 19 févr. 2011 10:52

Avec virtualbox j'ai parfois des alertes lorsque je fais des tests et en fait c'est le webguard de mon av sur la machine hote qui s'agite vu que le réseau de ma vm utilise le NAT.
C'est peut-être pour une raison similaire.

StudioNeuneu · par **StudioNeuneu** » 20 févr. 2011 20:58

Je n'ai pas kaspersky, j'ai NOD32.
Voila ce qu'il me dit (je signale au passage que c'est le filtre HTTP qui me dit ca)

hxtp://dwnsftn35.co.cc/kndvhvezcwcp.jar
Une menace a été détectée lors de l'accès au Web par l'application : C:\Windows\SysWOW64\vmnat.exe.

Ce que je comprends, c'est que le fichier vmnat.exe essaie d'acceder à un site.
Mais je ne comprends pas pourquoi. Et surtout, j'aimerais bien que ce ne soit pas le cas.

Pour EboO, moi aussi ma vm utilise le NAT.
Mais si c'est le NAT qui provoque ces alertes, comment configurer la vm pour ne pas avoir de risques?

EboO · par **EboO** » 21 févr. 2011 20:09

Je ne pense pas qu'il y ait vraiment de risque, c'est l'analyse du trafic http qui s'affole. Mais vu que les infos vont vers ta vm il ne doit pas y avoir de souci.
Je ne sais pas quelle alternative est possible.

StudioNeuneu · par **StudioNeuneu** » 21 févr. 2011 21:25

Donc en fait, si je comprends bien, l'anti-virus a empeché un virus de s'installer sur la vm?
Ca me parait bizarre quand meme.
Est-ce que ca pourrait etre que le virus installé sur la vm essaie de s'installer sur les autres machines du reseau?

EboO · par **EboO** » 22 févr. 2011 08:53

En réalité ton webshield analyse le trafic http, aussi bien celui de ta vm que celui de ta machine hôte. Et quand tu fais des tests de malwares il t'averti que la page que tu cherches à charger contient un malware. Ce malware tu vas le télécharger et l'exécuter sur ta vm, je ne pense donc pas qu'il y ait de risque pour ta machine hôte.
En principe, et sauf modification volontaire de ta part il me semble, ta vm n'est pas sur le réseau local donc aucun risque que le malware s'installe sur un autre poste.
Mais ce serait bien si quelqu'un pouvait confirmer ou infirmer ce que je dis, je n'utilise une vm que depuis quelques mois et je ne voudrais annoncer des choses qui sont fausses

StudioNeuneu · par **StudioNeuneu** » 22 févr. 2011 09:51

Oui c'est vrai que la vm n'est pas sur le meme réseau local que la machine hote.

En fait je pensais pas que l'antivirus analysait le traffic http de la vm.
Mais finalement, ca parait logique. Pour acceder a internet, il faut bien que vmware y accede, donc comme vmware est sur ma machine, il est "surveillé" par mon antivirus.
Merci pour toutes ces infos. Mais si quelqu'un a plus de details, je suis preneur.

par **Malekal_morte** » 24 févr. 2011 23:11

C'est surtout que vu le nom : C:\Windows\SysWOW64\vmnat.exe.
Ca doit être le processus responsable du NAT et donc qui doit effectuer les connexions HTTP et donc ton antivirus check ce que fais ce processus.

Ewen748 · par **Ewen748** » 07 mars 2011 23:51

Je ne connais pas les VMs dans le détail, car je n'en utilise pas. Cependant, j'ai pu observer un certain nombre d'alertes de sécurité les concernant sur le site du CERTA par exemple :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-089/
http://www.certa.ssi.gouv.fr/site/CERTA ... I-389.html

Tout ça pour dire que des failles de sécurité peuvent exister sur ces virtual machines et donc être exploitables.
Après est-ce qu'une organisation mafieuse irait jusqu'à développer des virus, ou autres exploitant ces failles sur nos VMs de particuliers? Vu la niche, il y a certainement des cibles de choix plus simples à profusion.

Malekal.com forum

Sécurité VMware

Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware

Re: Sécurité VMware